A Google Project Zero egy jól ismert csapat, amely azzal foglalkozik az Alphabet-en belül, hogy más fejlesztők által kiadott alkalmazásokban vagy webes felületeken keressenek biztonsági réseket, hibákat.
Ezeket a problémákat elküldik a fejlesztő cégnek és 90 napot adnak azok kijavítására, majd ezt követően nyilvánosságra hozzák a hibát. Bár eddig a hiba mélyebb részleteibe nem mentek bele, de ezek szerint most változtatnak ezen a stratégián és szélesebb körben elérhetővé teszik a teljes kódot, amellyel ki lehet használni az adott rendszer biztonsági réseit.
Az elmúlt néhány évben már számos problémát felfedtek a Windows 10S, a MacOS kernel vagy az iOS kapcsán.
Jelen esetben a Github került a Google Project Zero kereszttüzébe. A csapat állítása szerint 90 napja felvették velük a kapcsolatot, de a folyamatosan kitérő válaszokat adtak a cégtől, pedig egy súlyos hibát jelentettek feléjük – amit publikáltak, mert lejárt a 90 nap türelmi idő.
A bejegyzésből kiderül, hogy a szoftverük rendkívül sérülékeny a program-parancsokkal szemben (inject).
A hibát július 21.-én jelezték a Github felé, majd megnyugtatták a csapatot, hogy a hibát javítani fogják. Október 18-án lejárt a 90 napos türelmi időszak. A Github 2 hét türelmi időt kért a Project Zero csapatától annak érdekében, hogy javítani tudják a hibát és értesítsék a felhasználókat. A tegnapi nap folyamán újabb türelmi időt kértek, de a Project Zero-nak elege lett és publikálták a biztonsági rést. A Github újra a felhasználók értesítésére hivatkozott, viszont a csapat szerint eddig senkinek nem küldtek értesítést és a javítás folyamatáról sem tájékoztatták őket: „Nagy volt a csend” – mondják.
Hozzászólások
-