O programa CVE está com problemas, e são más notícias para o Android

Atualização, 16 de abril de 2025 (11:01 ET): Por um momento, parecia que os autores de malware estavam prestes a ter um dia de campo, mas agora parece que o programa CVE encontrou um alívio de última hora-também em várias frentes.

Em resposta à palavra desta rescisão de financiamento, os membros do conselho da CVE anunciaram o estabelecimento formal do novo Fundação CVE. Aparentemente, o risco para o apoio do governo havia sido antecipado e os membros do conselho da CVE estão trabalhando para criar uma nova organização sem fins lucrativos para continuar a missão do grupo há mais de um ano.

Separadamente disso, Computador de biping relata que a Agência de Segurança de Segurança Cibernética e Infraestrutura dos EUA (CISA) se comprometeu a estender diretamente o financiamento da CVE. Um representante explica: “Ontem à noite, a CISA executou o período de opção no contrato para garantir que não haja lapso nos serviços críticos da CVE”. Então, por enquanto, pelo menos, não parece que temos nada com que nos preocupar.

Artigo original, 16 de abril de 2025 (12:46 ET): O governo dos Estados Unidos retirou abruptamente o financiamento para o banco de dados de vulnerabilidades e exposições comuns (CVE). Sem o financiamento dos EUA, o programa de segurança crítico que padroniza as vulnerabilidades de nomeação e rastreamento será tão bom quanto morto, a menos que encontre outro benfeitor. Agora, pode parecer uma mudança nos bastidores, mas esse desenvolvimento pode afetar a rapidez com que seus telefones Android recebem atualizações de segurança.

O que é CVE?

O sistema CVE é essencialmente um banco de dados gigante, onde falhas de segurança conhecidas em software e dispositivos, incluindo telefones Android, são rastreados e compartilhados com empresas, pesquisadores de segurança e até o público. Cada problema de segurança relatado recebe um ID CVE exclusivo, para que todos saibam exatamente com que problema estão lidando. Mas a partir de quarta -feira, 16 de abril, os EUA não pagarão mais para manter esse sistema funcionando.

“Na quarta -feira, 16 de abril, o financiamento para Mitre desenvolver, operar e modernizar o programa de vulnerabilidades e exposições comuns e programas relacionados, como o programa de enumeração de fraqueza comum, expirará”, disse Yosry Barsoum, vice -presidente de Mitre e diretor do Centro para garantir a pátria ” O registro.

O que isso significa para as atualizações de segurança do Android?

O Google depende muito do CVS em seus boletins mensais de segurança do Android – as atualizações que corrigem bugs e problemas de segurança em dispositivos Android. Sem o sistema CVE funcionando como de costume, pode haver atrasos na identificação e corrigindo esses problemas.

Os IDs da CVE são como o Google comunica atualizações sobre questões de segurança em centenas de dispositivos e parceiros Android. Se o sistema desacelerar ou se tornar confuso, poderá se tornar mais difícil para as empresas rastrearem problemas de segurança, levando a possíveis atrasos ou até patches perdidos.

A maior preocupação é que, sem um sistema central, os fabricantes de telefones Android possam precisar desenvolver seu próprio sistema para rastrear vulnerabilidades. Há também uma preocupação de que, sem um sistema padronizado, as empresas possam se tornar menos transparentes sobre os problemas de segurança que afetam seus dispositivos.

Como o desenvolvimento é tão novo, não temos muita certeza de seu impacto. Alguém pode entrar para salvar o programa CVE, ou o governo dos EUA pode reverter sua decisão (caso em questão: tarifas em telefones). Também é possível que o Google e outras empresas possam criar seu próprio sistema interno para substituir a CVEs ou que outro grupo intervenha para executar um novo banco de dados.

Enquanto os registros históricos do CVE permanecerão Disponível no GitHubE o final do programa CVE pode não impactar imediatamente os usuários do Android, os especialistas alertam que as empresas podem enfrentar um passeio esburacado enquanto tentam navegar em novos sistemas.