A Google biztonsági csapatának néhány prominens tagja blogbejegyzésben fejti ki ajánlását, miszerint a gyártóknak illene minden tudomásukra jutott kritikus sérülékenységet 60 napon belül javítani, a hibák felfedezőit pedig arra bátorítják, hogy tegyék közzé a problémák részleteit, ha ennél hosszabb ideig kellene várakozni. Aktív kihasználás alatt lévő sérülékenységek esetében ugyanakkor a keresőóriás szakértői a 7 napos reakcióidőt tartanák megfelelőnek, ami bár kétségtelenül rövid egy javítás elkészítéséhez, kiteszteléséhez, publikálásához és telepítéséhez, arra azonban a szerzők szerint elegendő, hogy a gyártók tájékoztassák ügyfeleiket a problémáról és lehetséges elkerülő illetve kockázatcsökkentő megoldásokról.

Összehasonlítás képpen mai hír, hogy a Schneider Electric egyik ipari vezérlő szoftveréből mostanra sikerült kikapálni egy beégetett hozzáférést, amiről már 2011 decemberében nyilvánosságra került.

A bejegyzés születését egyébként egy újabb, a Google által észlelt 0-day fegyegetés indukálta, mellyel kapcsolatban a cég szakértői már a fent részletezett módon fognak eljárni...

...vagy már el is jártak? Tavis Ormandy múlt hónapban közzétett win32k.sys bugjára a napokban teljesértékű (bár elég megbízhatatlan - nekem még nem sikerült triggerelni) exploit született, a szintén a Google-nél dolgozó szakértő kapcsolódó blogposztjában pedig élesen bírálja a Microsoft biztonsági-kutatásokkal kapcsolatos hozzáállását. A Microsofttól eddig nem érkezett reakció az ügyben.

Szerk: Kapcsolódó flame :)