Zero-Day-Lücken: Google verlängert Frist für Patches

Google hat eine Änderung der Regeln zur Veröffentlichung von Sicherheitslücken angekündigt. Wie aus dem Blog von Project Zero hervor geht, gewährt das Unternehmen unter bestimmten Umständen mehr Zeit, um einen Patch für Zero-Day-Lücken bereitzustellen.

Bislang haben Entwickler 90 Tage Zeit um einen Fix zu verteilen, bevor Project Zero Einzelheiten zu Sicherheitslücken veröffentlicht. In Zukunft will Google Fristverlängerungen gewähren. Fällt das Fristende auf ein Wochenende oder einen Feiertag in den USA, publiziert der Konzern erst am nächsten Werktag die Schwachstelle.

Es verlängert ebenfalls die Frist, wenn ein Unternehmen einen Patch angekündigt hat, der innerhalb von 14 Tagen nach Ablauf der 90 Tage veröffentlicht wird. Unter besonderen Umständen behält sich der Konzern vor, die Frist zu verkürzen oder zu verlängern. Details dazu nennt Google allerdings nicht. Eine Vorzugsbehandlung für Firmen mit großem Marktanteil oder eigene Produkte gibt es Google zufolge nicht.

Google lobt Adobe

Dass die 90-Tage-Frist zur Behebung von Zero-Day-Lücken ausreicht, zeigt Adobe. Project Zero zufolge hat es das Unternehmen geschafft, die bisher 37 gemeldeten Sicherheitslücken innerhalb der Frist zu beheben. Von den insgesamt bislang 154 behobenen Fehlern in Project Zero, veröffentlichten die Entwickler in 85 Prozent der Fälle einen Patch vor Ablauf der 90 Tage.

Adobe konnte alle 37 in Project Zero gemeldete Sicherheitslücken innerhalb von 90 Tagen beheben. (Bild: Adobe)

Als Problem stellen sich Schwachstellen heraus, die Kriminelle zuerst entdecken, wie es in den letzten Wochen bei Adobe der Fall war. Auf diese muss der Hersteller schnell und spontan reagieren. In diesem Jahr musste Adobe bereits drei kritische Sicherheitslücken in Flash Player beheben.

Project Zero in der Kritik

Im Januar veröffentlichte Google Details zu mehreren Windows-Lücken, für die kein Patch vorlag. Microsoft kritisierte das Vorgehen, da es den Internetkonzern über einen bevorstehenden Patch informiert und gebeten hatte, die Veröffentlichung von Details zu verschieben. Google argumentierte damals mit der vorgegebenen Frist von 90 Tagen.

“Project Zero glaubt, dass Fristen für eine Offenlegung ein optimaler Ansatz für die Sicherheit von Nutzern sind”, hieß es in einem Blog vom 31. Dezember. Die Fristen gäben Anbietern ausreichend Zeit, Schwachstellen zu prüfen und zu beheben. Sie respektierten aber auch das Recht der Nutzer, von Bedrohungen zu erfahren. “Indem wir einem Anbieter die Möglichkeit nehmen, Details zu einem Sicherheitsproblem unbegrenzt zurückzuhalten, geben wir Nutzern die Möglichkeit, zeitnah auf Schwachstellen zu reagieren und ihr Recht als Kunde auf eine angemessene Reaktion des Anbieters einzufordern.”

Linus Torvalds befürwortet Veröffentlichung

Der Linux-Erfinder Linus Torvalds erklärte Mitte Januar, dass er ein “großer Verfechter der Offenlegung” von Sicherheitslücken sei. Nur “böse Hacker” profitieren vom Zurückhalten von Informationen. “Tatsache ist, dass ich absolut davon überzeugt bin, dass man sie melden muss, und man muss sie in einem angemessenen Zeitrahmen melden”, so Torvalds weiter.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

39 Minuten ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

1 Tag ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

2 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

2 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

2 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

3 Tagen ago