Anzeige
Anzeige
News

Project Zero: Google gibt von Sicherheitslücken betroffenen Projekten mehr Zeit

Googles Cybersecurity-Team vom Project Zero hat angekündigt, seine Disclosure-Richtlinien zum Umgang mit entdeckten Sicherheitslücken zu ändern. Das betrifft vor allem den Zeitpunkt der Veröffentlichung.

2 Min.
Artikel merken
Anzeige
Anzeige

Project Zero will weniger wadenbeißerisch agieren. (Foto: Shutterstock)

Googles Project Zero ist ein wichtiger Beitrag des Suchmaschinenriesen zur Sicherheit des Internet. Immer wieder finden die Bug-Jäger teils weitreichende Sicherheitslücken in Apps wie Whatsapp, aber auch in iPhones oder in Windows und vielen anderen Software-Projekten.

Bisher: Die verkürzte 90-Tage-Frist

Anzeige
Anzeige

Dabei war die Vorgehensweise bislang so, dass Project Zero die Verantwortlichen über eine gefundene Sicherheitslücke informiert und eine 90-Tage-Frist für deren Behebung gesetzt hat. Nach Ablauf der 90 Tage ist Project Zero mit den Informationen an die Öffentlichkeit gegangen. Wurde die konkrete Lücke vor Ablauf der Frist behoben, hat Project Zero die Informationen mit dem Tag der Behebung publik gemacht.

Neu: Die unbedingte 90-Tage-Frist

Den letztgenannten Punkt will Google nun ändern. Das erklärt das Unternehmen in einem Blogbeitrag. Künftig soll die 90-Tage-Frist in jedem Falle gelten. Auch wenn Hersteller ihre Patches schneller bereitstellen, erfolgt keine Veröffentlichung seitens Project Zero vor Ablauf der Frist.

Anzeige
Anzeige

Grund #1: Sorgfältigere Patches

Mehrere Gründe führt das Sicherheitsteam an. Zwar sei die Frist im Grunde kein Problem, da immerhin 97,7 Prozent aller informierten Hersteller gemeldete Lücken innerhalb der 90-Tage-Frist auch beheben würden.

Anzeige
Anzeige

Dabei würde jedoch offenbar nicht konsequent auf Qualität geachtet, so dass es möglich sei, dass eigentlich für fertig gestellt erklärte Patches doch wieder umgangen werden oder zu neuen Lücken führen könnten. Mit einem verlässlichen Zeitraum von 90 Tagen soll also eine qualitative Verbesserung der entwickelten Patches möglich werden.

Grund #2: Mehr Zeit für Einspielung durch Anwender

Ebenso wichtig war die Überlegung, dass selbst ein qualitativ hochwertiger Patch erst einmal von den Anwendern der Software entdeckt und eingespielt werden muss, was bei größeren Installationen durchaus mit einigem Aufwand verbunden sein kann.

Anzeige
Anzeige

So könnte es dazu kommen, dass der Hersteller seinen Patch veröffentlicht, Project Zero die Lücke dann publik macht, der Anwender aber nicht schnell genug updaten kann, so dass es im Zweifel doch zu einer Ausnutzung der eigentlich bereits geschlossenen Lücke kommen könnte.

Druckminderung wird Ende des Jahres neu geprüft

Die neue fixe 90-Tage-Frist nimmt also sowohl bei den Herstellern, wie auch bei den Anwendern gehörig Druck aus dem Kessel. Den Erfolg der Maßnahme will Project Zero am Ende des Jahres evaluieren und dann über Fortführung oder Änderung erneut entscheiden.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Kommentare

Community-Richtlinien

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Kommentar abgeben

Melde dich an, um Kommentare schreiben und mit anderen Leser:innen und unseren Autor:innen diskutieren zu können.

Anmelden und kommentieren

Du hast noch keinen t3n-Account? Hier registrieren

Anzeige
Anzeige