in che modo i difetti di google chrome vengono in genere rattoppati e divulgati

3

Quando esiste una vulnerabilità come quella di Flash in qualsiasi software, come Chrome, viene immediatamente comunicata al pubblico oppure viene mantenuta segreta finché non viene applicata la patch?

Se il primo, sono tutti i dettagli della vulnerabilità di solito divulgati?

    
posta badaboo 26.12.2016 - 12:45
fonte

2 risposte

2

Di solito il venditore viene informato dalla persona che ha trovato la vulnerabilità. Il venditore ha bisogno di tempo per risolvere il problema prima che la vulnerabilità venga resa pubblica. Questa è chiamata divulgazione responsabile . In questo modo, esiste già una correzione disponibile quando la vulnerabilità viene resa pubblica.

    
risposta data 26.12.2016 - 13:03
fonte
2

Per i bug in Google Chrome è disponibile il tracker dei problemi di Chromium . I bug di sicurezza sono inviati e risolti su questo sistema proprio come i normali bug. La differenza è che sono contrassegnati con speciali etichette di sicurezza delineati qui . Ad esempio, l'etichetta Restrict-View-SecurityTeam manterrà un segreto bug tra il reporter e il team di sicurezza di Chromium.

is it disclosed immediately to the general public, or is it kept a secret until it is patched?

I bug inviati tramite il tracker dei problemi verranno solitamente rivelati automaticamente qualche tempo dopo la correzione del bug. Attendere che una patch sia disponibile è chiamata disclosure responsabile e una condizione preliminare per partecipare a Programma di ricompensa delle vulnerabilità di Chrome .

If the former, are all the details of the vulnerability usually disclosed?

Poiché la descrizione del bug e i commenti e le azioni degli sviluppatori sono visibili attraverso il ticket del bug, di solito sarà possibile ottenere tutte le informazioni sul problema una volta che è stato reso pubblico. Poiché Chrome è un progetto open source, anche le modifiche al codice sorgente sono pubblicamente disponibili e spesso è persino possibile decodificare problemi di sicurezza fissi a seguito di modifiche al codice.

Spetta al ricercatore che ha trovato il bug se vuole rivelare il bug in modo responsabile attraverso il tracker con la prospettiva di ricevere un premio o venderlo altrove (es. ZDI ). Potrebbero anche decidere di renderlo pubblico immediatamente ("full disclosure").

    
risposta data 26.12.2016 - 14:39
fonte

Leggi altre domande sui tag