Компания Google опубликовала собственные требования по срокам устранения уязвимостей. По мнению руководства корпорации, критические уязвимости должны устраняться поставщиками программного обеспечения в течение 60-ти дней. За это время, считают в Google, вполне можно выпустить обновление, или, по крайней мере, временное решание. В том что касается уязвимостей нулевого дня, поисковый гигант выразил жесткие требования по их устранению в течение 7-ми дней с момента обнаружения. "Недавно нам стало известно о том, что злоумышленники активно эксплуатируют ранее неизвестную уязвимость в ПО, принадлежащем другой компании", - говорится в уведомлении американской компании. Скорее всего, речь идет о недавней компрометации Drupal.org , в результате которой произошла крупная утечка данных. В связи с этим инцидентом Google решила выдвинуть перед вендорами жесткие требования – если в течение 7 дней с момента обнаружения zero-day уязвимости производитель не выпустит патч, или хотя бы официальное уведомление с рекомендациями к устранению уязвимости или ограничения риска компрометации, корпорация сама приложит все усилия для того, чтобы сделать данные об уязвимости публично доступными и предупредить потенциальных жертв. "Придерживаясь тех же стандартов, мы надеемся улучшить состояние web-безопасности и координирование устранения уязвимостей", - заявили в Google.
SecurityLab.ru