Google spreekt zijn steun uit voor security-onderzoekers die aan 'responsible disclosure' doen door hun ontdekte kritieke 0-day gaten publiekelijk te onthullen. De getroffen leverancier van de kwetsbare software wordt wel netjes geïnformeerd, maar krijgt vervolgens niet lang de tijd vóór de publieke onthulling. Softwarebedrijven krijgen 7 dagen om de zaak aan te pakken, in het geval van kwetsbaarheden waar al aanvallen op worden uitgevoerd.

'Mogelijk te kort'

"Zeven dagen is een agressieve tijdslijn en is mogelijk te kort voor sommige leveranciers om hun producten te updaten, maar het zou genoeg tijd moeten zijn om een advies te publiceren over mogelijke beperkende maatregelen", stelt Google in een blogpost. Zo'n security-advies met zogeheten mitigations biedt gebruikers van de kwetsbare software dan informatie over de ontdekte kwetsbaarheid en welke maatregelen zij kunnen nemen om de impact ervan te beperken.

"Zoals het tijdelijk uitschakelen van een service, het beperken van toegang, of het contacteren van een leverancier voor meer informatie", draagt Google aan. De firma begint de blogpost met de mededeling dat het zelf onlangs heeft ontdekt dat aanvallers actief misbruik maken van een voorheen onbekende en dus ook ongepatchte kwetsbaarheid. Dat 0-day beveiligingsgat zit in software van een ander, niet bij naam genoemd bedrijf.

Gatenjager Tavis Ormandy

"Dit is geen geïsoleerd incident", stipt de internetreus aan. Security-onderzoekers van Google "leggen op een semi-reguliere basis real-world misbruik bloot van publiekelijk onbekende (zero-day) kwetsbaarheden". Het bedrijf benadrukt dat het dit altijd onmiddelijk meldt aan de leverancier van het product in kwestie, en dat het daarmee hecht samenwerkt om de zaak op te lossen.

Die samenwerking gebeurt niet altijd soepel, blijkt uit opmerkingen van de bekende Google-beveiligingsexpert Tavis Ormandy. Hij heeft vorige week opnieuw een 0-day gat in Windows ontdekt én dat naar buiten gebracht. Omdat "Microsoft vijandig is naar externe researchers", zegt de onderzoeker die al meerdere malen diepgaande gaten heeft gevonden in Windows, Linux, Sophos en andere software.

Fix of informatie

Google noemt de eigen werknemer niet in de blogpost waarin het zich uitspreekt voor responsible disclosure met een deadline van 7 dagen. Het linkt daarbij wel naar drie oudere, door Google ontdekte, gaten: in software van Microsoft, Adobe en het Chinese Tencent. Ormandy heeft zijn nieuwste Windows-gat geopenbaard vijf dagen nadat hij Microsoft had geïnformeerd, weet techblog The Verge te melden.

Het standaard advies van Google is dat bedrijven kritieke kwetsbaarheden binnen 60 dagen moeten fixen. "Of, als een fix niet mogelijk is, dan moeten ze het publiek op de hoogte stellen van het risico en daarbij workarounds bieden." Dat beleid wordt nu aangescherpt voor gevallen waarin aanvallers een gat al benutten.

'Geheimhouden verergert'

"Op basis van onze ervaring menen dat urgentere actie, binnen 7 dagen, gepast is voor kritieke kwetsbaarheden waar al actief misbruik van wordt gemaakt". Google's redenatie voor deze speciale behandeling is dat elke dag dat een actief misbruikte kwetsbaarheid geheim blijft er meer computers worden gecompromitteerd.

Google kondigt nu niet alleen een kortere geheimhoudingsperiode aan voor kritieke, al misbruikte 0-day gaten. Het bedrijf belooft beveiligingsonderzoekers ook steun. "Als er 7 dagen zijn verstreken zonder een patch of advisory dan steunen we onderzoekers die details beschikbaar maken zodat gebruikers maatregelen kunnen nemen om zichzelf te beschermen." Google sluit de blogpost af met de belofte dat het zichzelf ook aan deze hoge standaard zal houden.