Hasta ahora, las advertencias publicadas por CERT habían sido restringidas a vulnerabilidades que el centro consideraba particularmente serias y que requiriesen atención inmediata de los usuarios.
La semana pasada, CERT publicó los detalles de su nueva política en su sitio web. CERT informó que continuará pasando toda la información relevante sobre un problema de seguridad específico al correspondiente vendedor de software antes de hacer cualquier revelación pública. Sin embargo, después de 45 días, la información será lanzada al público junto con cualquier parche disponible que el usuario pueda implementar.
La información sobre vulnerabilidades que sean consideradas particularmente serias, o que serían fáciles de explotar por ataques maliciosos, serán lanzadas aún antes si la situación justifica una revelación acelerada, señaló Shawn Hernan, miembro de CERT.
Según Hernan, la idea es proveer a los usuarios de software revelaciones calificadas con responsabilidad, mientras que se les da a los vendedores una razonable cantidad tiempo para arreglar los problemas.
La política es en realidad un intento de balancear las necesidades de los vendedores con las del público en general, añadió Hernan.
De acuerdo a Hernan, bajo su nueva política CERT tratará de publicar los reportes sobre cuantas vulnerabilidades sea necesario. Pero en un intento por minimizar la posibilidad de ataques resultado de las revelaciones, la organización no planea publicar ninguna información que podría ser usada por hackers maliciosos para explotar el agujero de seguridad.