Originalbeitrag von Brian Gorenc, Senior Director of Vulnerability Research and Head of the ZDI

Auf der Konferenz Black Hat USA kündigten wir einige neue Offenlegungsfristen an. Unsere Standardfrist von 120 Tagen für die Offenlegung der meisten Schwachstellen bleibt bestehen, aber für Fehlermeldungen, die aus fehlerhaften oder unvollständigen Patches resultieren, werden wir eine kürzere Frist festlegen. Das ZDI wird künftig einen mehrstufigen Ansatz verfolgen, der sich nach dem Schweregrad des Fehlers und der Wirksamkeit des ursprünglichen Fixes richtet. Die erste Stufe sieht einen Zeitrahmen von 30 Tagen für die meisten als kritisch eingestuften Fälle vor, in denen ein Missbrauch festgestellt oder erwartet wird. Die zweite Stufe umfasst ein 60-Tage-Intervall für Fehler mit kritischem und hohem Schweregrad, bei denen der Patch einen gewissen Schutz bietet. Schließlich gibt es eine 90-Tage-Frist für andere Schweregrade, bei denen keine unmittelbare Gefährdung zu erwarten ist. Wie bei unseren normalen Fristen werden auch hier Verlängerungen nur in begrenztem Umfang und auf Einzelfallbasis gewährt.
Weiterlesen →