Gugl je rekao proizvođačima softvera da ponude zakrpe ili savete za kritične, ranije nepoznate ranjivosti u svojim programima u roku od sedam dana od otkrivanja

Gugl je bacio rukavicu u lice proizvođačima softvera tražeći da njih da ponude zakrpe ili savete za kritične, ranije nepoznate ranjivosti u svojim programima u roku od sedam dana pošto im ranjivost bude prijavljena.

"Po isteku sedam dana u slučaju da nema zakrpe ili saveta, podržaćemo istraživače da objave detalje (o ranjivostima) tako da korisnici mogu preduzeti korake u cilju svoje zaštite", kažu iz Gugla.

Pre tri godine, Gugl inženjeri su predložili rok od 60 dana kao razuman rok u okviru koga bi proizvođači softvera trebalo da objave zakrpu ili savet.

U slučajevima kada se ranjivosti aktivno koriste u hakerskim napadima potrebna je hitna akcija, a na osnovu iskustva rok od 7 dana je adekvatan za takve ranjivosti, smatraju u Guglu. Svaki dan aktivnog korišćenja ranjivosti koja je nepoznata javnosti i nezakrpljena ima za posledicu više kompromitovanih računara.

Gugl ima veliki tim istraživača koji godinama unazad otkrivaju takozvane "0-day" ranjivosti u programima drugih proizvođača, koje hakeri koriste u napadima. Oni uvek i odmah prijavljuju takve slučajeve proizvođačima softvera i zajedno sa njima rade na pronalaženju rešenja.

Sedam dana izgleda kao prekratak rok za proizvođače softvera da ažuriraju svoje proizvode, ali je dovoljan da objave savet o mogućim načinima za izbegavanje napada i smanjenje posledica napada, kao što je deaktiviranje servisa, ograničenje pristupa ili kontaktiranje proizvođača za više detalja.

Mnoge "0-day" ranjivosti koriste se za napade na određene grupe ili pojedince u ciljanim napadima koji su često ozbiljniji nego napadi na širu populaciju. Politički aktivnosti iz određenih delova sveta su česta meta napada a kompromitovanje njihovih računara može imati ozbiljne posledice po njihovu bezbednost.

Sada ostaje da se vidi da li će preporuke iz Gugla slediti drugi istraživači kao i da li će to uopšte imati uticaja na proizvođače softvera. Veliki proizvođači kao što su "Microsoft", "Adobe" i "Oracle" čiji su softverski proizvodi česta meta "0-day" napada, imaju mnogo iskustva sa incidentima te vrste i razvijene procedure koje im omogućavaju da u većini slučajeva reaguju relativno brzo. Međutim, manje kompanije su daleko manje spremne za "0-day" ranjivosti i upozoravanje svojih korisnika.