Zero Day Initiative verkürzt Fristen zur Offenlegung von Schwachstellen

Die Zero Day Initiative (ZDI) wird künftig bestimmte Schwachstellen schon vor Ablauf von 120 Tagen öffentlich machen. Die neuen Fristen greifen, sobald ZDI einen Patch des Herstellers als unvollständig einstuft. Der Händler für Sicherheitslücken hofft, Druck auf Anbieter ausüben zu können, damit diese die Qualität ihrer Sicherheitsupdates verbessern.

Die zu Trend Micro gehörende Zero Day Initiative beklagt eine “verstörende” Abnahme der Qualität von Sicherheitspatches. Sie kritisiert zudem eine immer häufiger vage Kommunikation über Patches, die Unternehmen die Möglichkeit nehme, das Risiko für die eigenen Systeme korrekt einzuschätzen. Unvollständige Patches verursachten zudem unnötige Kosten für Unternehmen.

Künftig wird ZDI Details zu kritischen Sicherheitslücken bereits nach 30 Tagen offenlegen, falls ein Patch leicht umgangen werden kann und eine Ausnutzung durch Hacker als wahrscheinlich gilt. Bei Anfälligkeiten mit dem Schweregrad “kritisch” oder “hoch” gilt eine Frist von 60 Tagen, sobald ein unvollständiger Patch zumindest einen gewissen Schutz bietet und die Entwicklung eines Exploits möglich ist. 90 Tage bis zur Offenlegung gewährt ZDI für jegliche Sicherheitslücken, falls eine Variante des ursprünglichen Bugs eine Umgehung eines Patches erlaubt und mit einer zeitnahen Ausnutzung der Schwachstelle nicht zu rechnen ist.

Auch Google kritisiert unvollständige Patches

“In den letzten Jahren haben wir einen beunruhigenden Trend festgestellt: Die Qualität der Patches nimmt ab und die Kommunikation rund um die Patches nimmt ab. Dies hat dazu geführt, dass Unternehmen das Risiko für ihre Systeme nicht mehr genau einschätzen können. Außerdem kostet es sie Geld und Ressourcen, da schlechte Patches erneut veröffentlicht und somit erneut angewendet werden müssen”, heißt es in einem Blogbeitrag der Zero Day Initiative.

Neben ZDI bemängelt auch die Google-Sicherheitsforscherin Maddie Stone die Veröffentlichung unvollständiger Patches. Sie schätzt, dass die Hälfte der im ersten Halbjahr 2022 aufgetauchten Zero-Day-Lücken hätten mit besseren Patches und Tests vermieden werden können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Amazon Web Services führt virtuelle Ubuntu-Desktops ein

Sie basieren auf Ubuntu Pro 22.04 LTS. Amazon verlangt ab 23 Dollar pro Monat für…

8 Stunden ago

Las Vegas bekommt größtes privates 5G-Netzwerk in den USA

5G-Netzwerk soll Innovationen vorantreiben und als ein Modell für Städte und Unternehmen weltweit dienen.

9 Stunden ago

IT-Entscheidungen: Drum prüfe, wer sich ewig bindet

Internationale Studie von Gartner zeigt: Unternehmen bedauern oft ihre Kaufentscheidungen für IT-Lösungen.

10 Stunden ago

Deutsche Telekom unterstützt Ethereum Blockchain

Bereitstellung von Validierungsknoten für Ethereum-Netzwerk für Betrieb und Sicherheit von Blockchains.

10 Stunden ago

Gartner-Umfrage: Automatisierungsgrad steigt bis 2025 deutlich an

70 Prozent der Unternehmen werden bis 2025 Infrastruktur-Automatisierung implementieren.

10 Stunden ago

Sind synthetische Daten eine Alternative zu anonymisierten Daten?

"Traditionelle Verfahren der Anonymisierung funktionieren nicht mehr so gut", sagt Dr. Tobias Hann, CEO von…

11 Stunden ago