Linus Torvalds befürwortet Offenlegung von Sicherheitsproblemen

Auf einer Linux-Konferenz in Australien hat Linus Torvalds Stellung zur Veröffentlichung von Sicherheitslücken bezogen. An sich sei Sicherheit weiterhin ein großes Problem, aber er bezeichnete die Offenlegung von mehr Lücken als befriedigend.

“Ich bin ein großer Verfechter der Offenlegung”, sagte Torvalds. Allerdings gebe es bereits seit Jahrzehnten Leute, die nicht über Sicherheitsprobleme sprechen wollten, da das nur den “bösen Hackern” helfe. “Tatsache ist, dass ich absolut davon überzeugt bin, dass man sie melden muss, und man muss sie in einem angemessenen Zeitrahmen melden.”

Linus Torvalds befürwortet die Veröffentlichung von Sicherheitslücken. (Screenshot: Stephen Shankland/CNET)

“Der Zeitrahmen für die Kernel Security List ist zugegebenermaßen fünf Arbeitstage, was einige Leute für ein wenig extrem halten. Bei anderen Projekten ist es vielleicht ein Monat oder mehrere Monate, aber das ist immer noch besser als Jahre über Jahre des Stillschweigens, was wir bisher hatten”, so Torvalds weiter.

Streit zwischen Google und Microsoft

Indirekt beteiligt sich Torvalds mit seinen Kommentaren an einem Streit zwischen Google und Microsoft über die verantwortungsvolle Offenlegung von Sicherheitslücken. Der Suchmaschinenkonzern hatte vor kurzem Einzelheiten zu drei Windows-Schwachstellen öffentlich gemacht, für die Microsoft noch keine Patches entwickelt hatte.

Im Rahmen des Project Zero hatte Google die Sicherheitslücken selbst aufgespürt und sie nach einer selbst gesetzten Sperrfrist von 90 Tagen veröffentlicht. Microsoft hatte den Konzern in mindestens zwei Fällen gebeten, die Frist zu verlängern, da es einen Fix nicht in der vorgegebenen Zeit bereitstellen konnte. Die Bekanntmachung einer Lücke zwei Tage vor Microsofts Patchday sorgte schließlich für Streit zwischen den beiden Unternehmen.

“Obwohl sich Google an seinen angekündigten Zeitplan für die Offenlegung gehalten hat, fühlt sich die Entscheidung nicht nach Prinzipien an, sondern mehr wie ein ‘Erwischt’ an”, schrieb Chris Betz, Senior Director des Microsoft Security Response Center, vor einer Woche in einem Blog. Die Leidtragenden seien nun die Kunden. “Was richtig ist für Google, ist nicht immer richtig für die Kunden. Wir bitten Google dringend, den Schutz der Kunden zu unserem gemeinsamen primären Ziel zu machen.”

Auch bei Sicherheitsexperten umstritten

Auch in Sicherheitskreisen stößt die Veröffentlichung aller Details einer Schwachstelle auf Kritik. Der Sicherheitsexperte Graham Cluley hatte Google dafür zuletzt scharf kritisiert. “Wenn Google frustriert ist, dass Microsoft so lange für die Veröffentlichung eines Patches benötigt, dann sollte es sich mit seinen Bedenken an die Medien wenden und ihnen den Fehler zeigen – nicht aber Beispielcode veröffentlichen, den jeder ausnutzen kann”, schreibt Cluley in seinem Blog.

Mit Hinblick auf Googles Entscheidung, den Support für WebView in Android 4.3 und früher einzustellen, ergänzte er: “Man stelle sich vor, Microsoft-Forscher gäben Google 90 Tage Zeit, um eine Anfälligkeit in WebView in Android 4.3 zu beseitigen, bevor sie Beispielcode für einen Exploit veröffentlichen. Ich frage mich, wie Google sich dann fühlen würde?”

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Cyberangriffe kosten Unternehmen im Schnitt 1 Million Dollar

Aus Sicht des Sicherheitsdienstleisters Kaspersky liegen Schadenskosten und Investitionen in Cybersicherheit damit fast gleichauf.

4 Stunden ago

Malware-Ranking November: KRITIS-Saboteur Androxgh0st in Mozi-Bot-Netz integriert

In Deutschland ist der Infostealer Formbook weiterhin Spitzenreiter und für rund 18,5 Prozent aller Malware-Infektionen…

3 Tagen ago

Sicherheitslücken drohen im gesamten Gerätelebenszyklus

HP Wolf Security-Studie: fehlende Lieferanten-Audits, schwache BIOS-Passwörter, Fear of Making Updates, Epidemie verlorener Geräte und…

4 Tagen ago

Die zehn größten Datenpannen 2024

Datenpannen sorgen nicht nur für aufmerksamkeitsstarke Schlagzeilen – sie sind eine Erinnerung an die Schwachstellen,…

4 Tagen ago

ISG sieht KI-getriebenen Wandel im Microsoft-Ökosystem

Das Zusammenspiel von Cloud und KI stellt Hyperscaler, IT-Partner und Endkunden vor neue Herausforderungen.

4 Tagen ago

Hey Lou Hotels nutzt KI-Agenten von Salesforce

Auf Basis der Lösungen Customer 360 und Data Cloud im Zusammenspiel mit Agentforce will Hotelkette…

6 Tagen ago