News

Project Zero: Google gibt von Sicherheitslücken betroffenen Projekten mehr Zeit

Project Zero will weniger wadenbeißerisch agieren. (Foto: Shutterstock)

Googles Cybersecurity-Team vom Project Zero hat angekündigt, seine Disclosure-Richtlinien zum Umgang mit entdeckten Sicherheitslücken zu ändern. Das betrifft vor allem den Zeitpunkt der Veröffentlichung.

Googles Project Zero ist ein wichtiger Beitrag des Suchmaschinenriesen zur Sicherheit des Internet. Immer wieder finden die Bug-Jäger teils weitreichende Sicherheitslücken in Apps wie Whatsapp, aber auch in iPhones oder in Windows und vielen anderen Software-Projekten.

Bisher: Die verkürzte 90-Tage-Frist

Dabei war die Vorgehensweise bislang so, dass Project Zero die Verantwortlichen über eine gefundene Sicherheitslücke informiert und eine 90-Tage-Frist für deren Behebung gesetzt hat. Nach Ablauf der 90 Tage ist Project Zero mit den Informationen an die Öffentlichkeit gegangen. Wurde die konkrete Lücke vor Ablauf der Frist behoben, hat Project Zero die Informationen mit dem Tag der Behebung publik gemacht.

Neu: Die unbedingte 90-Tage-Frist

Den letztgenannten Punkt will Google nun ändern. Das erklärt das Unternehmen in einem Blogbeitrag. Künftig soll die 90-Tage-Frist in jedem Falle gelten. Auch wenn Hersteller ihre Patches schneller bereitstellen, erfolgt keine Veröffentlichung seitens Project Zero vor Ablauf der Frist.

Grund #1: Sorgfältigere Patches

Mehrere Gründe führt das Sicherheitsteam an. Zwar sei die Frist im Grunde kein Problem, da immerhin 97,7 Prozent aller informierten Hersteller gemeldete Lücken innerhalb der 90-Tage-Frist auch beheben würden.

Dabei würde jedoch offenbar nicht konsequent auf Qualität geachtet, so dass es möglich sei, dass eigentlich für fertig gestellt erklärte Patches doch wieder umgangen werden oder zu neuen Lücken führen könnten. Mit einem verlässlichen Zeitraum von 90 Tagen soll also eine qualitative Verbesserung der entwickelten Patches möglich werden.

Grund #2: Mehr Zeit für Einspielung durch Anwender

Ebenso wichtig war die Überlegung, dass selbst ein qualitativ hochwertiger Patch erst einmal von den Anwendern der Software entdeckt und eingespielt werden muss, was bei größeren Installationen durchaus mit einigem Aufwand verbunden sein kann.

So könnte es dazu kommen, dass der Hersteller seinen Patch veröffentlicht, Project Zero die Lücke dann publik macht, der Anwender aber nicht schnell genug updaten kann, so dass es im Zweifel doch zu einer Ausnutzung der eigentlich bereits geschlossenen Lücke kommen könnte.

Druckminderung wird Ende des Jahres neu geprüft

Die neue fixe 90-Tage-Frist nimmt also sowohl bei den Herstellern, wie auch bei den Anwendern gehörig Druck aus dem Kessel. Den Erfolg der Maßnahme will Project Zero am Ende des Jahres evaluieren und dann über Fortführung oder Änderung erneut entscheiden.

Passend dazu: Google veröffentlicht „schwerwiegende“ Sicherheitslücke von macOS

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung