Vulnerability Disclosure FAQ

Published: 2019-07-31
Last updated: 2020-04-14

Project Zero follows Google’s vulnerability disclosure policy on all of our vulnerability reports. What does this mean exactly, and why do we do things this way? This document explains how Project Zero currently handles vulnerability disclosure, and answers some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions we receive about our disclosure policy.

What is Project Zero's 90-day disclosure deadline policy?

When Project Zero finds a new vulnerability, we send a detailed technical description of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relevant vendor or open source project. This initial vulnerability report includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following statement:

"This bug is subject to a 90 day disclosure deadline. After 90 days elapse or a patch has been made broadly available (whichever is earlier), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bug report will become visible to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public."

Our expectation is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 developer will fix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security vulnerability within 90 days. Project Zero will release details about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability after 90 days elapse from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original report. In some cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor may agree to publish details at an earlier date (for example, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want to align disclosure to an official security bulletin release, or if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical details are already public due to normal development practices). 

What happens if a patch isn't broadly available after 90 days?

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patch is expected to arrive within 14 days of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deadline expiring, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n Project Zero can offer an extension. We implemented a 14-day grace extension after receiving some good feedback from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r vendors. There had been some awkward timing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, for example, where a vendor's scheduled monthly patch release was due two days after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deadline expiry date, and we agreed that a clearly defined grace extension is a reasonable compromise for this situation.

If we don't think a fix will be ready within 14 days, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n we use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original 90-day deadline as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of disclosure. That means we grant a 14-day grace extension when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a commitment by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 developer to ship a fix within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 14-day grace period.

How does Project Zero publicly disclose a vulnerability?

Our vulnerability discoveries are tracked in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Project Zero issue tracker:


Initially, all of our bug reports are restricted so that only Project Zero team members can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical content. When it's time to disclose, we "derestrict" access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue tracker entry for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bug, which means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical description of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability will become publicly accessible. 

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disclosure happens because of a missed deadline, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Deadline-Exceeded" label is used. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 14-day grace extension was applied, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bug will have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Deadline-Grace" label. 

What proportion of vulnerabilities are fixed before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 90-day deadline?

As of April 8, 2020 we have 1694 vulnerabilities in a "Fixed" state in our issue tracker, and 69 vulnerabilities have been disclosed without a patch being available to users. That means that over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 total lifetime of Project Zero, 95.9% of issues have been fixed under deadline.

If we limit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time period where grace extensions were an option (Feb 13, 2015 to April 8, 2020) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n we have 1543 fixed issues. Of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se, 1316 were fixed within 90 days, and a furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r 187 issues were fixed within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 14-day grace period. That leaves 40 vulnerabilities that were disclosed without a patch being available to users, or in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words 97.4% of our issues are fixed under deadline.

Why are disclosure deadlines necessary? 

We were concerned that patches were taking a long time to be developed and released to users, and we felt that disclosure deadlines set up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right balance of incentives. 

Software vendors have responded to disclosure deadlines in a way that ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r options were historically unable to accomplish. Prior to Project Zero our researchers had tried a number of different disclosure policies, such as coordinated vulnerability disclosure. Coordinated vulnerability disclosure is premised on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that any public disclosure prior to a fix being released unnecessarily exposes users to malicious attacks, and so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor should always set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time frame for disclosure. 

We used this model of disclosure for over a decade, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results weren't particularly compelling. Many fixes took over six months to be released, while some of our vulnerability reports went unfixed entirely! We were optimistic that vendors could do better, but we weren't seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 improvements to internal triage, patch development, testing, and release processes that we knew would provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most benefit to users.

But why do slow patch timelines matter? If you assume that only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reporter have knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue can be fixed without urgency. However, we increasingly have evidence that attackers are finding (or acquiring) many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same vulnerabilities that defensive security researchers are reporting.

We can't know for sure when a security bug we have reported has previously been found by an attacker (recent attempts to quantify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rate of bug collision can be found here and here), but we know that it happens regularly enough to factor into our disclosure policy. We think that our policy introduces an appropriate level of urgency into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability remediation process.

Essentially, disclosure deadlines are a way for security researchers to set expectations and provide a clear incentive for vendors and open source projects to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir vulnerability remediation efforts. We tried to calibrate our disclosure timeframes to be ambitious, fair, and realistically achievable.

While every vulnerability disclosure policy has certain pros and cons, Project Zero has concluded that a 90-day disclosure deadline policy is currently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best option available for user security. Based on our experiences with using this policy for multiple years across hundreds of vulnerability reports, we can say that we're very satisfied with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results. No one on Project Zero is happy when a deadline is missed, but a consistent and fair approach to enforcing disclosure deadlines goes a long way.

For example, we observed a 40% faster response time from one software vendor when comparing bugs reported against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same target over a 7-year period, while anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r software vendor doubled cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 regularity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security updates in response to our policy.

Have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re been any cases where an exception to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disclosure deadline policy has been given?

Yes, in 3 out of 1694 cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disclosure deadlines for Project Zero's issues were extended by Google:

  1. CVE-2020-1027 -- (blogpost pending), 23 days (actively exploited issue under a 7-day deadline)

Doesn't disclosing a vulnerability when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no fix endanger users?

The answer is counterintuitive at first: disclosing a small number of unfixed vulnerabilities doesn't meaningfully increase or decrease attacker capability. Our "deadline-based" disclosures have a neutral short-term effect on attacker capability.

We certainly know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are groups and individuals that are waiting to use public attacks to harm users (like exploit kit authors), but we also know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of turning a typical Project Zero vulnerability report into a practical real-world attack is non-trivial.

Since Project Zero typically discloses only one part of an exploit chain, attackers need to perform substantial additional research and development to complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit and make it reliable. Any attacker with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resources and technical skills to turn a bug report into a reliable exploit chain would usually be able to build a similar exploit chain even if we had never disclosed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bug. They would eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to find and exploit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own 0day vulnerabilities, or have access to a range of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r interchangeable bugs (e.g. ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r fixed/disclosed bugs from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past weeks/months). 

Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window of exposure between disclosure and a fix being released is very small, i.e., a patch usually arrives shortly after a deadline is missed, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker's risk of detection increases rapidly from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of disclosure. 

For any attackers that are willing to exploit publicly disclosed bugs (despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 increased risk of failure or detection), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re currently seems to be two alternative options that are preferred for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir cost-effectiveness:

  1. Waiting for disclosed bugs that require only a small amount of additional research and development (design flaws and logic bugs, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r easily exploitable conditions); or
  2. Waiting for a fully developed and reliable exploit to be leaked (typically when a targeted exploit attempt using 0day is detected). 

All of this means that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re isn't a substantial difference between deadline enforced disclosures or our normal post-patch disclosure in terms of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 observed rates of "opportunistic reuse" by attackers. If most bugs are fixed in a reasonable timeframe (i.e. less than 90 days), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n we are only enforcing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deadline on a very small number of unfixed cases. And if disclosing a handful of unfixed vulnerabilities doesn't substantially help attackers in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 short-term, but does lead to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 demonstrated long term benefits of shortened patch timelines and more frequent patching cycles, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it would follow that a deadline based disclosure policy is good for user security overall.

Why do you disclose technical details about a bug when it's fixed?

We think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's tremendous long-term benefit in publishing details about our research methodologies and results. We use discussions about vulnerabilities and exploits to drive a pipeline of work on structural improvements to software and hardware security: attack surface reduction, exploit mitigations, improved sandboxing, fixing bug classes, and improving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of public security research.

We're also big believers in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 educational benefits of sharing our results and insights, and we hope that our blog posts and issue tracker reports can provide a pathway for new researchers to join cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security community. Additionally we want to share our insights and areas of focus with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security experts in order to drive attention towards important attack surfaces, and to encourage more researchers to share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own results.

Information about how a modern exploit works is extremely valuable, and increasingly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are incentives for offensive practitioners to withhold this information from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security researchers, developers, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public. To counter this shift towards privately held attack research, we think that encouraging high-quality public research on modern attacks is a key part of building a better ecosystem of well-informed defenders.

Why do you release information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability so quickly after a fix is released?

With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2020 policy update, we release information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability after 90 days. If a fix is released earlier in that time period, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n users will have a longer time to apply a patch prior to technical details being released. We hope that this is a good incentive for vendors to provide timely fixes to users, and to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ecosystem's patch adoption rates. 

If a patch becomes available later in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 90 day window, Project Zero will be releasing technical details close to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patch release date. We still think that's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best approach overall (racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than delaying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release of details even furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r), as 1) it sets a clear incentive for vendors to deliver patches in a timely manner, and 2) withholding technical details disadvantages defenders, as attackers will quickly figure out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patch. 

We've seen that attackers spend time analyzing security patches in order to learn about vulnerabilities (both through source code review and binary reverse engineering), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y quickly establish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full details even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor and researcher attempt to withhold technical data. 

Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 utility of information about vulnerabilities is very different for defenders vs attackers, we don't expect that defenders can typically afford to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same depth of analysis as attackers. The feedback that we get from defenders is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want more information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risks that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir users face. 

The information that we release can commonly be used by defenders to immediately improve defenses, testing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accuracy of bug fixes, and can always be used to make informed decisions about patch adoption or short-term mitigations. 

Timely information also generates a level of momentum and excitement in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security research community. We aim to harness this to drive follow-up research and to motivate discussions about long-term structural improvements to security. 

How do you decide who to report a vulnerability to?

We think that vulnerability reports should be communicated directly to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor or open source project that is responsible for developing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fix. Generally we use an official point of contact for security bug reports (e.g., an email address or issue tracker) and we follow each project's documented process for handling security bugs until a bug is fixed or a disclosure deadline has passed.

Sometimes we get asked to share our vulnerability reports with third parties, such as organizations that are affected by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability. By default we decline cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se requests, and we generally ask that vendors refrain from sharing our vulnerability reports with third parties unnecessarily. We have observed several unintended outcomes from vulnerability sharing under embargo arrangements, such as: increased risk of leaks, slower patch release cycles, and inconsistent criteria for inclusion.

Do you ever help software vendors or open source projects fix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues you report?

Absolutely! We want to be involved as much as possible in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patch development process, and encourage vendors to collaborate with our researchers to make sure patches are correct and complete. We often directly suggest a source code patch that will resolve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underlying bug, but for complex cases we will typically work with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software maintainer to develop and verify a correct fix. 

Project Zero researchers are always available to provide feedback during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patch development process—an extra pair of eyes on a security patch can make a big difference, so we encourage vendors to reach out to our researchers if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have any questions or ideas that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd like to discuss furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. There have been several occasions where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial patch was incomplete or inadvertently introduced anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r vulnerability, and we’ve happily worked with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 maintainer/vendor to come up with a correct fix.

We often include additional guidance about opportunities for code hardening, attack surface reduction, design improvements, testing and so on. This often results in structural improvements above-and-beyond an individual bug fix. Collaborating on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se structural improvements is a specific goal for Project Zero, and is seen as an important long-term component of our work.

Would you recommend ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security researchers use a disclosure deadline policy?

Yes, we'd encourage ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security researchers to use disclosure deadlines as well. 

We think that industry practices will improve as more researchers start to include timeline expectations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir bug reports. There are many good reasons why a security researcher might choose not to adopt a disclosure deadline policy on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir bug reports, but overall we've seen many positive outcomes from adopting disclosure deadlines and we can certainly recommend it to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security researchers.

We understand that some software vendors have chosen to prioritize Project Zero's vulnerability reports at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expense of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r vulnerability reports that don't have a specific disclosure timeline. As more security researchers apply deadlines, we're expecting software vendors to prioritize bug fixes based on overall impact and to invest appropriately to ensure that all important security issues can be fixed in a timely manner, and we think that would be a step in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right direction for user security.

What do you do if a vendor says a bug is invalid, or says that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y cannot, or will not, fix it?

If we report an issue and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor indicates that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y won't be issuing a patch, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n we derestrict cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical details in our issue tracker (i.e., make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue publicly available for discussion) with a status of "WontFix" and include an additional technical assessment of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 developer's response. 

In essence we shift from treating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bug report as a vulnerability (where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules of vulnerability disclosure apply) and instead begin to treat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue as a non-security bug (where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are typically no restrictions on public discussion). We think this incentivizes vendors to perform high-quality triaging of our bug reports, and we've seen a significant improvement in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage we receive in response to this approach.

Software maintainers have been very good at assessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security risk of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues we report to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, and it's rare that Project Zero and a developer disagree about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 severity of an issue.

So is a publicly available source code patch a "fix" even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no build for it?

We think a public source code patch is usually equivalent to a public disclosure, even if it's not clearly marked as a security-relevant change. There's a good amount of research that supports this, such as Barth et al's "How Open Should Open Source Be?" (link) or Aubizzierre's "Unearthing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 World's Best Bugs" (link). We also have experience at Project Zero with analyzing security patches, so we have a good sense for what is technically feasible here, and we know that attackers have an incentive to perform this analysis against high-profile targets. 

We've reported vulnerabilities in dozens of different open source projects, and we've noticed all projects handle security fixes in a slightly different way. Some prefer immediately releasing security patches as soon as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're ready, while ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs try for a more coordinated approach. Open source projects and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir user communities are in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best position to choose how to disseminate patches, but our view is that once a patch is public we can start to discuss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability in more detail with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wider security community.

Why does Project Zero release proof-of-concept exploit code? Doesn't this help attackers?

The primary argument against releasing proof-of-concept exploit code is that malicious parties can quickly repurpose our research into an attack that harms users. While this may occur when “full chain” exploits are released, in almost all cases our proof-of-concept code is not immediately repurposable for an attack — i.e., substantial additional research and development will be required before an exploit can be used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild. With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2020 policy update, we also expect that patch adoption will improve, as vendors are incentivized to release security patches early to allow more time for users to install patches

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flip side, we think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are some benefits to giving defenders concrete data on what an exploit might look like for any particular bug — it can assist network administrators in prioritizing patch deployment, it gives security experts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to validate, understand, mitigate and detect some attacks, and it provides public, real-world data to effectively drive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future of secure software development. 

Project Zero has publicly announced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existence of a bug prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 90-day deadline in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past. Isn't this a type of disclosure that goes against your own policy?

From a business perspective, a disclosure at any level of detail can have a range of serious consequences. From a technical and user risk perspective however, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of detail shared is important to factor in.

In most cases we don't think that announcing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existence of a vulnerability is equivalent to a detailed vulnerability disclosure. All software of sufficient complexity will contain vulnerabilities, so saying things like "I just reported a vulnerability in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Android media server" isn't materially useful information for an attacker. It's common that software vendors give early notification of upcoming advisories, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security researchers have had good success with announcing high-level summaries of pending publications.

One concern we've heard from vendors about announcements like this: customers will often contact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir software provider to inquire about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 status of a fix or potential mitigations, and this can increase costs.

Project Zero doesn't currently announce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existence of pending vulnerability fixes, but we're keeping a close eye on how ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r researchers approach this, and we may experiment with early notifications again in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's sufficient interest in this approach.

Are vulnerabilities that are being actively exploited "in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild" handled differently?

Yes. Google has a different policy for how to handle vulnerabilities that have been discovered "in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild", i.e., vulnerabilities that are being actively exploited to harm users. It is described in this Google Online Security blog from 2013: 

"Based on our experience, however, we believe that more urgent action -- within 7 days -- is appropriate for critical vulnerabilities under active exploitation. The reason for this special designation is that each day an actively exploited vulnerability remains undisclosed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public and unpatched, more computers will be compromised."

Google expects that vendors will address an actively exploited vulnerability within 7 days. This is in contrast to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 90-day time period used for vulnerabilities that are not categorically known to be under active exploitation.

Are hardware vulnerabilities treated differently to software vulnerabilities in your disclosure policy?

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time being, we intend to apply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same disclosure policy for both hardware and software issues. These cases are rare and often discussed at length, and we have historical precedence for enforcing disclosure deadlines on both hardware and software issues. Each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se discussions has been unique and valuable, and so we think it's too early to reset our expectations specifically for hardware vendors.

All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems that we research have different pre-existing constraints and capabilities, and we have observed legacy architectural and process issues that can make timely patch development incredibly challenging for hardware vendors. However, we don't think that resolving hardware security issues in a timely manner is impossible or infeasible, and instead, it appears that our disclosure policy has been effective at motivating increased investment in hardware security. Similar to our software vulnerability reporting, we're excited to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results from our hardware vulnerability reporting over time.

Does Google have early access to Project Zero's detailed technical vulnerability reports?

Typically only Project Zero team members (who are Google employees) and a small number of security engineers working inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team on “20% projects” have access to Project Zero's vulnerability reports prior to public disclosure. An obvious exception is when Google is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recipient of our reports: i.e. we discover vulnerabilities in Chrome, Android, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Google-supported software, and in those cases we follow Google's standard external bug reporting procedures and follow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same processes that a non-Google security researcher would experience. 

There's a temptation to "short circuit" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 normal bug fixing process for third-party software that Google relies on, i.e. to give Google's products and services a head start, but we like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of setting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same expectations for everyone. While this can make things a little awkward at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 office sometimes, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end it encourages Google to furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r invest in having great procedures and relationships in place with upstream projects and vendors, and that's a good thing. Most patched security issues aren't discovered by Project Zero, so having a "special case" for our team's findings wouldn't change much in practice, and getting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fundamentals of good patch management right is much more important in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long run.

No comments:

Post a Comment