Google repareert gevaarlijke Gmailbug razendsnel

De ontwikkelaars konden 7 uur na de eerste publieke melding van misbruik een patch aanbrengen in de serversoftware. Die melding betrof het publiceren van een exploit van Allison Husain, die het probleem eerder dit jaar had ontdekt en gemeld. Google had de fout destijds erkend, maar vond het niet nodig gelijk te acteren op de melding. Husain kreeg als antwoord dat de patch ergens in september beschikbaar zou komen. Daarop heeft ze de exploit gepubliceerd om Google te dwingen tot actie.

Het pijnlijke is dat Googles eigen security-afdeling - Project Zero - keiharde deadlines stelt aan softwareleveranciers die laks zijn met het repareren van beveiligingsgaten. Het team heeft een gedetailleerd beleid maar dat komt er in feite op neer dat een leverancier 90 dagen de tijd krijgt om problemen te herstellen. Tenzij deze zwaarwegende argumenten heeft waardoor de patch niet binnen deze periode beschikbaar kan komen, nagelt Project Zero de leverancier aan de schandpaal.

De pot verwijt de ketel...

Nu had Google zelf maar liefst 137 dagen de tijd om het probleem te fixen, maar deed dat niet. Na het uitbrengen van de exploit kon het probleem opeens wel in 7 uur uit de wereld zijn. Volgens Google gaat het om een workaround, en volgt de definitieve patch in september.

Het is onduidelijk of het aanbrengen van de wijzigingen aan de servers van Gmail en G Suite de oorzaak waren van de uitval van deze dienstverlening gisteren.