Após sete dias, o Google quer publicar os detalhes sobre a vulnerabilidade de tal forma que os usuários do software vulnerável possam se proteger dos ataques. Previamente, a companhia havia dado aos fornecedores 60 dias de prazo antes que as informações venham à público com os detalhes das vulnerabilidades. Porém, O Google afirma que já foram encontradas vulnerabilidades do tipo zero-day sendo utilizadas para atacar um subconjunto limitado de pessoas, e essa ação torna o ataque mais sério do que quando o mesmo é generalizado, além de ser de maior importância resolver o problema o mais rápido possível. Especialmente quando ativistas políticos estão sendo comprometidos e os ataques podem gerar "implicações de segurança reais" em algumas partes do mundo.
Período Agressivamente Curto
O Google sabe que esse espaço de tempo de apenas sete dias é uma "faixa de tempo agressiva", mas que oferece um prazo suficiente para o fabricante publicar algum conselho de como o seu cliente/usuário possa se manter seguro. Como exemplos de ações tempos: desabilitar temporariamente um determinado serviço, restringir acesso ou mesmo oferecer informações de contato para disponibilizar uma assistência mais direta ao indivíduo ou grupo. "A cada dia que uma vulnerabilidade explorada se mantém aberta para o público e sem correção, mais computadores serão comprometidos" afirmou o Google dizendo que também planeja se colocar no mesmo compromisso e poder ajudar a melhorar a coordenação tanto da segurança web quanto do gerenciamento da vulnerabilidade.
Saiba Mais:
- Heise Online: Google cuts grace period for vendors of vulnerable software (em Inglês)