Project Zero: Google gibt von Sicherheitslücken betroffenen Projekten mehr Zeit
Googles Project Zero ist ein wichtiger Beitrag des Suchmaschinenriesen zur Sicherheit des Internet. Immer wieder finden die Bug-Jäger teils weitreichende Sicherheitslücken in Apps wie Whatsapp, aber auch in iPhones oder in Windows und vielen anderen Software-Projekten.
Bisher: Die verkürzte 90-Tage-Frist
Dabei war die Vorgehensweise bislang so, dass Project Zero die Verantwortlichen über eine gefundene Sicherheitslücke informiert und eine 90-Tage-Frist für deren Behebung gesetzt hat. Nach Ablauf der 90 Tage ist Project Zero mit den Informationen an die Öffentlichkeit gegangen. Wurde die konkrete Lücke vor Ablauf der Frist behoben, hat Project Zero die Informationen mit dem Tag der Behebung publik gemacht.
Neu: Die unbedingte 90-Tage-Frist
Den letztgenannten Punkt will Google nun ändern. Das erklärt das Unternehmen in einem Blogbeitrag. Künftig soll die 90-Tage-Frist in jedem Falle gelten. Auch wenn Hersteller ihre Patches schneller bereitstellen, erfolgt keine Veröffentlichung seitens Project Zero vor Ablauf der Frist.
Grund #1: Sorgfältigere Patches
Mehrere Gründe führt das Sicherheitsteam an. Zwar sei die Frist im Grunde kein Problem, da immerhin 97,7 Prozent aller informierten Hersteller gemeldete Lücken innerhalb der 90-Tage-Frist auch beheben würden.
Dabei würde jedoch offenbar nicht konsequent auf Qualität geachtet, so dass es möglich sei, dass eigentlich für fertig gestellt erklärte Patches doch wieder umgangen werden oder zu neuen Lücken führen könnten. Mit einem verlässlichen Zeitraum von 90 Tagen soll also eine qualitative Verbesserung der entwickelten Patches möglich werden.
Grund #2: Mehr Zeit für Einspielung durch Anwender
Ebenso wichtig war die Überlegung, dass selbst ein qualitativ hochwertiger Patch erst einmal von den Anwendern der Software entdeckt und eingespielt werden muss, was bei größeren Installationen durchaus mit einigem Aufwand verbunden sein kann.
So könnte es dazu kommen, dass der Hersteller seinen Patch veröffentlicht, Project Zero die Lücke dann publik macht, der Anwender aber nicht schnell genug updaten kann, so dass es im Zweifel doch zu einer Ausnutzung der eigentlich bereits geschlossenen Lücke kommen könnte.
Druckminderung wird Ende des Jahres neu geprüft
Die neue fixe 90-Tage-Frist nimmt also sowohl bei den Herstellern, wie auch bei den Anwendern gehörig Druck aus dem Kessel. Den Erfolg der Maßnahme will Project Zero am Ende des Jahres evaluieren und dann über Fortführung oder Änderung erneut entscheiden.