ZDI verkort deadline voor softwareleveranciers met onvolledige patches

De kwaliteit van beveiligingsupdates laat volgens securitybedrijf ZDI de laatste jaren zo te wensen over dat het softwareleveranciers voortaan minder tijd geeft om het oorspronkelijke probleem te verhelpen. Eerder luidde ook Google al de noodklok over onvolledige patches waardoor het oorspronkelijke beveiligingslek bijvoorbeeld via een omweg alsnog is te misbruiken.

Het Zero Day Initiative (ZDI) betaalt onderzoekers voor het melden van kwetsbaarheden in allerlei producten. Deze informatie deelt het ZDI met de betrekkende softwareleverancier, zodat die een update kan ontwikkelen. Daarnaast gebruikt het securitybedrijf de informatie voor de eigen beveiligingsproducten. Nadat het ZDI softwareleveranciers heeft geïnformeerd over een kwetsbaarheid krijgen die honderdtwintig dagen de tijd om het probleem te verhelpen. Daarna maakt het securitybedrijf de details van het lek bekend. Dit moet leveranciers ertoe zetten om tijdig updates te ontwikkelen.

De updates die leveranciers ontwikkelen blijken echter niet altijd volledig. Zo stelde Google eind juni dat in de eerste helft van dit jaar er achttien zerodaylekken zijn gebruikt bij aanvallen tegen organisaties en internetgebruikers. Het gaat hier om kwetsbaarheden waar op het moment van de aanval geen update voor beschikbaar is. Zeker de helft van deze beveiligingslekken had voorkomen kunnen worden als de betreffende softwareleverancier betere updates en regressietests had doorgevoerd, zo stelt Google. Vorig jaar kwam het techbedrijf ook al met een dergelijke conclusie.

Onvolledige updates zorgen ervoor dat bedrijven niet meer goed het risico voor hun systemen kunnen inschatten, aldus het ZDI. Het securitybedrijf heeft sinds 2005 meer dan tienduizend kwetsbaarheden gerapporteerd en wil met een aangepaste patch-deadline softwareontwikkelaars nu betere updates laten ontwikkelen. Wanneer blijkt dat een update voor een kritieke kwetsbaarheid eenvoudig is te omzeilen en misbruik wordt verwacht, krijgt de softwareleverancier voortaan nog maar dertig dagen om met een grondige oplossing voor het initiële probleem te komen.

Mocht de oorspronkelijke update enige bescherming bieden en is misbruik mogelijk, dan zal het ZDI in deze gevallen de details na zestig dagen openbaar maken. In alle andere gevallen zullen details over onvolledige updates na negentig dagen worden geopenbaard. Het ZDI zegt “failed patches” ook nauwlettender in de gaten te zullen houden, waarop het de deadline mogelijk verder zal aanpassen.

Bron: https://www.security.nl/posting/764626/ZDI+verkort+deadline+voor+softwareleveranciers+met+onvolledige+patches?channel=rss

Georgino van Hout

Georgino van Hout is een verslaggever voor InternetBlabla.nl. Hij heeft in het verleden voor verschillende cyber security bedrijven geblogd. Door zijn bijdragen aan InternetBlaBla, kunnen we de belangrijke zaken in cyber security blijven verslaan zodat we actueel blijven op het gebied van cyber veiligheid.