ZDI presiona a los fabricantes para acelerar los parches de seguridad

El grupo Zero Day Initiative (ZDI) de TippingPoint ha fijado en seis meses el plazo de tiempo que da a los fabricantes para emitir parches de seguridad una vez les ha notificado la existencia de alguna vulnerabilidad en sus productos. Transcurrido ese período publicará un informe con detalles sobre las brechas para que la comunidad de seguridad pueda desarrollar soluciones

ZDI presiona a los fabricantes para acelerar los parches de seguridad

5 agosto 2010

El grupo Zero Day Initiative (ZDI) de TippingPoint ha fijado en seis meses el plazo de tiempo que da a los fabricantes para emitir parches de seguridad una vez les ha notificado la existencia de alguna vulnerabilidad en sus productos. Transcurrido ese período publicará un informe con detalles sobre las brechas para que la comunidad de seguridad pueda desarrollar soluciones.

Limitando a seis meses el plazo máximo de emisión de parches para todas las vulnerabilidades descubiertas por la comunidad de investigadores de seguridad y notificadas a los suministradores ZDI pretende evitar que éstos retrasen innecesariamente el lanzamiento de parches para proteger a los usuarios.

ZDI es un programa basado en la compra de los derechos sobre la información sobre vulnerabilidades para negociar después la venta de la información en exclusiva a los fabricantes afectados y, según sus portavoces, aplicará el nuevo plazo no sólo a las brechas futuras, sino también a las que actualmente quedan pendientes de cubrir.

No obstante, ZDI será condescendiente en aquellos casos en que exista evidencia de complicaciones técnicas especiales para cumplir los plazos.

“Existen en estos momentos alrededor de 31 fallos de seguridad pendientes de resolver desde hace más de un año. Creemos que se trata de una ventana de exposición al riesgo inaceptable”, ha declarado Aaron Portnoy, director del equipo de investigación sobre seguridad de TippingPoint. La cifra se eleva a nada menos que 90 cuando se trata de brechas conocidas desde hace seis meses y aún sin cubrir.

Por ejemplo, según ZDI existen al menos seis vulnerabilidades de alto riesgo que afectan al software de IBM notificadas hace más de 600 días y que todavía no han sido resueltas. Microsoft, RealNetworks, Symantec, CA y Novell figuran también entre los suministradores más lentos en la resolución de brechas de seguridad en sus productos.

El plazo de seis meses no es, en cualquier caso, demasiado exigente. US-CERT establece un máximo de 45 días para que los fabricantes cubran los fallos que les comunica. En el caso del equipo de seguridad de Google, el máximo es de 60 días.

Temas Relacionados