Por lo general, la persona que ha encontrado la vulnerabilidad informa al proveedor. Se le da tiempo al proveedor para que arregle el problema antes de que la vulnerabilidad se divulgue públicamente. Esto se denomina divulgación responsable . De esta manera, ya hay una solución disponible cuando la vulnerabilidad se conozca públicamente.
Para los errores en Google Chrome, hay un rastreador de problemas de Chromium . Los errores de seguridad se envían y resuelven a través de este sistema al igual que los errores normales. La diferencia es que están marcadas con etiquetas de seguridad especiales descritas aquí . Por ejemplo, la etiqueta Restrict-View-SecurityTeam mantendrá un secreto de error entre el reportero y el equipo de seguridad de Chromium.
¿se ha divulgado de inmediato al público en general o se ha mantenido en secreto hasta que se actualice?
Los errores enviados a través del rastreador de problemas generalmente se divulgarán automáticamente algún tiempo después de que se solucione el error. Esperar hasta que un parche esté disponible se llama divulgación responsable y es condición previa para participar en el Programa de recompensa de vulnerabilidad de Chrome .
Si es el primero, ¿se revelan todos los detalles de la vulnerabilidad?
Dado que la descripción del error y los comentarios y acciones de los desarrolladores se pueden ver a través del ticket de error, generalmente será posible obtener toda la información sobre el problema una vez que se haga público. Dado que Chrome es un proyecto de código abierto, los cambios en el código fuente también están disponibles públicamente y, a menudo, incluso es posible aplicar ingeniería inversa a los problemas de seguridad de los cambios de código.
Depende del investigador que encontró el error si quiere revelar su error de manera responsable a través del rastreador con la perspectiva de recibir una recompensa o venderlo en otro lugar (por ejemplo, ZDI ). También podrían simplemente decidir hacerlo público inmediatamente ("divulgación completa").
Lea otras preguntas en las etiquetas disclosure vulnerability-management