Zero Day Initiative verkürzt Fristen zur Offenlegung von Schwachstellen

Die Zero Day Initiative (ZDI) wird künftig bestimmte Schwachstellen schon vor Ablauf von 120 Tagen öffentlich machen. Die neuen Fristen greifen, sobald ZDI einen Patch des Herstellers als unvollständig einstuft. Der Händler für Sicherheitslücken hofft, Druck auf Anbieter ausüben zu können, damit diese die Qualität ihrer Sicherheitsupdates verbessern.

Die zu Trend Micro gehörende Zero Day Initiative beklagt eine “verstörende” Abnahme der Qualität von Sicherheitspatches. Sie kritisiert zudem eine immer häufiger vage Kommunikation über Patches, die Unternehmen die Möglichkeit nehme, das Risiko für die eigenen Systeme korrekt einzuschätzen. Unvollständige Patches verursachten zudem unnötige Kosten für Unternehmen.

Künftig wird ZDI Details zu kritischen Sicherheitslücken bereits nach 30 Tagen offenlegen, falls ein Patch leicht umgangen werden kann und eine Ausnutzung durch Hacker als wahrscheinlich gilt. Bei Anfälligkeiten mit dem Schweregrad “kritisch” oder “hoch” gilt eine Frist von 60 Tagen, sobald ein unvollständiger Patch zumindest einen gewissen Schutz bietet und die Entwicklung eines Exploits möglich ist. 90 Tage bis zur Offenlegung gewährt ZDI für jegliche Sicherheitslücken, falls eine Variante des ursprünglichen Bugs eine Umgehung eines Patches erlaubt und mit einer zeitnahen Ausnutzung der Schwachstelle nicht zu rechnen ist.

Auch Google kritisiert unvollständige Patches

“In den letzten Jahren haben wir einen beunruhigenden Trend festgestellt: Die Qualität der Patches nimmt ab und die Kommunikation rund um die Patches nimmt ab. Dies hat dazu geführt, dass Unternehmen das Risiko für ihre Systeme nicht mehr genau einschätzen können. Außerdem kostet es sie Geld und Ressourcen, da schlechte Patches erneut veröffentlicht und somit erneut angewendet werden müssen”, heißt es in einem Blogbeitrag der Zero Day Initiative.

Neben ZDI bemängelt auch die Google-Sicherheitsforscherin Maddie Stone die Veröffentlichung unvollständiger Patches. Sie schätzt, dass die Hälfte der im ersten Halbjahr 2022 aufgetauchten Zero-Day-Lücken hätten mit besseren Patches und Tests vermieden werden können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Intergermania Transport: KI-Lösung optimiert Rechnungsmanagement

Transportunternehmen automatisiert Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.

23 Stunden ago

Generative KI: Mangel an kompetenten Entwicklern und Know-how

Studie zeigt: Bei der Implementierung und Nutzung von generativer KI im industriellen Umfeld besteht noch…

24 Stunden ago

Schatten-KI: Generative KI sicher integrieren

Die Einführung von KI in Unternehmen läuft oft noch zögerlich. Diese Zurückhaltung öffnet ungewollt die…

4 Tagen ago

Angriffsziel ERP

Eine aktuelle Studie von Onapsis zeigt: 9 von 10 Ransomware-Angriffe betrafen ERP-Systeme.

4 Tagen ago

Intelligente DDoS-Abwehr mit KI

Angreifer nutzen zunehmend raffinierte Techniken, um ihre Angriffe zu verschleiern und adaptive Angriffsmuster einzusetzen, warnt…

6 Tagen ago

Energieverbrauch von Rechenzentren im Blick

ESRS, CSRD, EnEfG: Wer die gesetzlichen Nachhaltigkeits-Regularien erfüllen will, braucht Transparenz über den Energieverbrauch und…

1 Woche ago