I responsabili di Google Project Zero, la divisione di Mountain View che si occupa di individuare le vulnerabilità 0-day nelle applicazioni utilizzate più frequentemente, ha reso noti alcuni recenti aggiornamenti alla propria Disclosure Policy, cioè alle specifiche che regolano le modalità con cui possono essere rivelati i dettagli di una nuova problematica di sicurezza.
Una vulnerabilità 0-day è una criticità non nota agli stessi sviluppatori di un software, questa caratteristica la rende particolarmente insidiosa perché se un utente malintenzionato dovesse scoprirla potrebbe sfruttarla a proprio piacimento prima del rilascio di una patch. Le politiche relative alla Disclosure diventano quindi fondamentali per la limitazione di eventuali danni.
Fino ad ora Project Zero prevedeva un periodo della durata di 90 giorni, calcolati a partire dalla pubblicazione del primo report, prima della comunicazione dei particolari tecnici di una vulnerabilità 0-day. Con le modifiche alle policy si è invece deciso di estendere questo arco temporale di altri 30 giorni per permettere ai soggetti interessati di applicare i necessari correttivi.
Questi 30 giorni sono stati quindi calcolati tenendo conto del fatto che nei 3 mesi precedenti le software house dovrebbero avere tutto il tempo per realizzare una patch in grado di scongiurare eventuali attacchi, è comunque prevista una deroga nel caso in cui sia già disponibile un exploit 0-day e quindi una tecnica malevola con cui approfittare della vulnerabilità.
In questo caso particolare si passerà infatti da 30 a 7 giorni esclusivamente nel caso in cui non sia stata creata una patch, se invece in quei 7 giorni gli sviluppatori dovessero essere in grado di realizzarla rimarrà valido l’obbligo di non divulgare niente se non dopo 30 giorni. Tutti i cambiamenti previsti sono comunque da ritenersi temporanei e potrebbero essere riaggiornati già nel 2022.