Zero Day Initiative abbatte i tempi per la notifica delle vulnerabilità

Zero Day Initiative, il programma internazionale di Trend Micro per remunerare i ricercatori che scoprono vulnerabilità nei software e sistemi operativi, ha ridotto i tempi per rendere pubbliche le problematiche di sicurezza. Storicamente, l'azienda offre ai vendor 180 giorni per rimediare alle falle di sicurezza individuate, termine che è stato abbassato a 120 giorni. Sono stati introdotti anche nuovi termini temporali per le "failed patch", quelle che non risolvono del tutto i problemi, che verranno monitorate con maggiore attenzione da ZDI. Per i problemi più gravi, per esempio quando la patch può essere aggirata facilmente da un attaccante, il tempo è stato abbassato a 30 giorni, che diventano 60 per i casi meno "critici". 

La qualità delle patch di sicurezza è in calo

Il motivo della decisione, come spiega Brian Gorenc, Director of Vulnerability Research di Trend Micro, in questo post, è dovuto al preoccupante calo della qualità delle patch che ZDI ha potuto osservare. "Negli ultimi anni" - spiega Gorenc - "abbiamo notato un trend preoccupante: un calo nella qualità delle patch e una minore comunicazione. A causa di questi fattori, le aziende faticano a stimare correttamente il rischio al quale sono esposti i loro sistemi". Non solo: le patch di bassa qualità rappresentano un costo aggiuntivo per le imprese, dato che si perde tempo a installare ulteriori aggiornamenti che vanno a rimediare ai problemi non risolti in precedenza. 

Nel caso di patch incomplete, ora ZDI dà ai produttori di software 30 giorni di tempo per correggere i bug prima di pubblicare informazioni su vulnerabilità critiche che si pensa possano essere attivamente sfruttate dagli attaccanti, 60 nel caso di attacchi possibili e 90 nel caso non si intraveda il rischio di vedere sfruttata a breve la vulnerabilità. 

ZDI ha inoltre creato un nuovo account Twitter, @thezdibugs, dove pubblicherà informazioni su vulnerabilità estremamente critiche o bug 0-day.