Google hat eine Änderung der Regeln zur Veröffentlichung von Sicherheitslücken angekündigt. Wie aus dem Blog von Project Zero hervor geht, gewährt das Unternehmen unter bestimmten Umständen mehr Zeit, um einen Patch für Zero-Day-Lücken bereitzustellen.
Bislang haben Entwickler 90 Tage Zeit um einen Fix zu verteilen, bevor Project Zero Einzelheiten zu Sicherheitslücken veröffentlicht. In Zukunft will Google Fristverlängerungen gewähren. Fällt das Fristende auf ein Wochenende oder einen Feiertag in den USA, publiziert der Konzern erst am nächsten Werktag die Schwachstelle.
Es verlängert ebenfalls die Frist, wenn ein Unternehmen einen Patch angekündigt hat, der innerhalb von 14 Tagen nach Ablauf der 90 Tage veröffentlicht wird. Unter besonderen Umständen behält sich der Konzern vor, die Frist zu verkürzen oder zu verlängern. Details dazu nennt Google allerdings nicht. Eine Vorzugsbehandlung für Firmen mit großem Marktanteil oder eigene Produkte gibt es Google zufolge nicht.
Dass die 90-Tage-Frist zur Behebung von Zero-Day-Lücken ausreicht, zeigt Adobe. Project Zero zufolge hat es das Unternehmen geschafft, die bisher 37 gemeldeten Sicherheitslücken innerhalb der Frist zu beheben. Von den insgesamt bislang 154 behobenen Fehlern in Project Zero, veröffentlichten die Entwickler in 85 Prozent der Fälle einen Patch vor Ablauf der 90 Tage.
Als Problem stellen sich Schwachstellen heraus, die Kriminelle zuerst entdecken, wie es in den letzten Wochen bei Adobe der Fall war. Auf diese muss der Hersteller schnell und spontan reagieren. In diesem Jahr musste Adobe bereits drei kritische Sicherheitslücken in Flash Player beheben.
Im Januar veröffentlichte Google Details zu mehreren Windows-Lücken, für die kein Patch vorlag. Microsoft kritisierte das Vorgehen, da es den Internetkonzern über einen bevorstehenden Patch informiert und gebeten hatte, die Veröffentlichung von Details zu verschieben. Google argumentierte damals mit der vorgegebenen Frist von 90 Tagen.
“Project Zero glaubt, dass Fristen für eine Offenlegung ein optimaler Ansatz für die Sicherheit von Nutzern sind”, hieß es in einem Blog vom 31. Dezember. Die Fristen gäben Anbietern ausreichend Zeit, Schwachstellen zu prüfen und zu beheben. Sie respektierten aber auch das Recht der Nutzer, von Bedrohungen zu erfahren. “Indem wir einem Anbieter die Möglichkeit nehmen, Details zu einem Sicherheitsproblem unbegrenzt zurückzuhalten, geben wir Nutzern die Möglichkeit, zeitnah auf Schwachstellen zu reagieren und ihr Recht als Kunde auf eine angemessene Reaktion des Anbieters einzufordern.”
Der Linux-Erfinder Linus Torvalds erklärte Mitte Januar, dass er ein “großer Verfechter der Offenlegung” von Sicherheitslücken sei. Nur “böse Hacker” profitieren vom Zurückhalten von Informationen. “Tatsache ist, dass ich absolut davon überzeugt bin, dass man sie melden muss, und man muss sie in einem angemessenen Zeitrahmen melden”, so Torvalds weiter.
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bereits seit einigen Jahren führt die RGF Staffing Germany Schulungen durch, um die eigenen Mitarbeiter…
Das Europäische Forschungsprojekt XMANAI hat den Blick in die KI geöffnet und macht ihre Entscheidungsprozesse…
Hacker nutzen LLM weniger als visionäre Alleskönner-Technologien, sondern als effiziente Werkzeuge zum Verbessern von Standardangriffen,…
Der "ARIS AI Companion" soll alle Mitarbeitenden darin befähigen, Prozesse zu analysieren und Ineffizienzen aufzudecken.
Kurz vor der Fußball-Europameisterschaft in Deutschland nehmen die Cyberbedrohungen für Sportfans zu, warnt Marco Eggerling…
Software für das Customer Relationship Management muss passgenau ausgewählt und im Praxistest an das einzelne…