Zero-Day-Lücken: Google verlängert Frist für Patches

Andre Borbe,
Google (Bild: Google)

Zuletzt geriet Googles Project Zero in die Kritik für die Veröffentlichungen von Sicherheitslücken ohne Patch. Nun gibt der Internetkonzern Entwicklern unter bestimmten Umständen mehr Zeit eine Zero-Day-Lücke zu schließen.

Google hat eine Änderung der Regeln zur Veröffentlichung von Sicherheitslücken angekündigt. Wie aus dem Blog von Project Zero hervor geht, gewährt das Unternehmen unter bestimmten Umständen mehr Zeit, um einen Patch für Zero-Day-Lücken bereitzustellen.

Bislang haben Entwickler 90 Tage Zeit um einen Fix zu verteilen, bevor Project Zero Einzelheiten zu Sicherheitslücken veröffentlicht. In Zukunft will Google Fristverlängerungen gewähren. Fällt das Fristende auf ein Wochenende oder einen Feiertag in den USA, publiziert der Konzern erst am nächsten Werktag die Schwachstelle.

Es verlängert ebenfalls die Frist, wenn ein Unternehmen einen Patch angekündigt hat, der innerhalb von 14 Tagen nach Ablauf der 90 Tage veröffentlicht wird. Unter besonderen Umständen behält sich der Konzern vor, die Frist zu verkürzen oder zu verlängern. Details dazu nennt Google allerdings nicht. Eine Vorzugsbehandlung für Firmen mit großem Marktanteil oder eigene Produkte gibt es Google zufolge nicht.

Google lobt Adobe

Dass die 90-Tage-Frist zur Behebung von Zero-Day-Lücken ausreicht, zeigt Adobe. Project Zero zufolge hat es das Unternehmen geschafft, die bisher 37 gemeldeten Sicherheitslücken innerhalb der Frist zu beheben. Von den insgesamt bislang 154 behobenen Fehlern in Project Zero, veröffentlichten die Entwickler in 85 Prozent der Fälle einen Patch vor Ablauf der 90 Tage.

logo_adobe_800x600
Adobe konnte alle 37 in Project Zero gemeldete Sicherheitslücken innerhalb von 90 Tagen beheben. (Bild: Adobe)

Als Problem stellen sich Schwachstellen heraus, die Kriminelle zuerst entdecken, wie es in den letzten Wochen bei Adobe der Fall war. Auf diese muss der Hersteller schnell und spontan reagieren. In diesem Jahr musste Adobe bereits drei kritische Sicherheitslücken in Flash Player beheben.

Project Zero in der Kritik

Im Januar veröffentlichte Google Details zu mehreren Windows-Lücken, für die kein Patch vorlag. Microsoft kritisierte das Vorgehen, da es den Internetkonzern über einen bevorstehenden Patch informiert und gebeten hatte, die Veröffentlichung von Details zu verschieben. Google argumentierte damals mit der vorgegebenen Frist von 90 Tagen.

“Project Zero glaubt, dass Fristen für eine Offenlegung ein optimaler Ansatz für die Sicherheit von Nutzern sind”, hieß es in einem Blog vom 31. Dezember. Die Fristen gäben Anbietern ausreichend Zeit, Schwachstellen zu prüfen und zu beheben. Sie respektierten aber auch das Recht der Nutzer, von Bedrohungen zu erfahren. “Indem wir einem Anbieter die Möglichkeit nehmen, Details zu einem Sicherheitsproblem unbegrenzt zurückzuhalten, geben wir Nutzern die Möglichkeit, zeitnah auf Schwachstellen zu reagieren und ihr Recht als Kunde auf eine angemessene Reaktion des Anbieters einzufordern.”

Linus Torvalds befürwortet Veröffentlichung

Der Linux-Erfinder Linus Torvalds erklärte Mitte Januar, dass er ein “großer Verfechter der Offenlegung” von Sicherheitslücken sei. Nur “böse Hacker” profitieren vom Zurückhalten von Informationen. “Tatsache ist, dass ich absolut davon überzeugt bin, dass man sie melden muss, und man muss sie in einem angemessenen Zeitrahmen melden”, so Torvalds weiter.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de