Google hat eine Änderung der Regeln zur Veröffentlichung von Sicherheitslücken angekündigt. Wie aus dem Blog von Project Zero hervor geht, gewährt das Unternehmen unter bestimmten Umständen mehr Zeit, um einen Patch für Zero-Day-Lücken bereitzustellen.
Bislang haben Entwickler 90 Tage Zeit um einen Fix zu verteilen, bevor Project Zero Einzelheiten zu Sicherheitslücken veröffentlicht. In Zukunft will Google Fristverlängerungen gewähren. Fällt das Fristende auf ein Wochenende oder einen Feiertag in den USA, publiziert der Konzern erst am nächsten Werktag die Schwachstelle.
Es verlängert ebenfalls die Frist, wenn ein Unternehmen einen Patch angekündigt hat, der innerhalb von 14 Tagen nach Ablauf der 90 Tage veröffentlicht wird. Unter besonderen Umständen behält sich der Konzern vor, die Frist zu verkürzen oder zu verlängern. Details dazu nennt Google allerdings nicht. Eine Vorzugsbehandlung für Firmen mit großem Marktanteil oder eigene Produkte gibt es Google zufolge nicht.
Dass die 90-Tage-Frist zur Behebung von Zero-Day-Lücken ausreicht, zeigt Adobe. Project Zero zufolge hat es das Unternehmen geschafft, die bisher 37 gemeldeten Sicherheitslücken innerhalb der Frist zu beheben. Von den insgesamt bislang 154 behobenen Fehlern in Project Zero, veröffentlichten die Entwickler in 85 Prozent der Fälle einen Patch vor Ablauf der 90 Tage.
Als Problem stellen sich Schwachstellen heraus, die Kriminelle zuerst entdecken, wie es in den letzten Wochen bei Adobe der Fall war. Auf diese muss der Hersteller schnell und spontan reagieren. In diesem Jahr musste Adobe bereits drei kritische Sicherheitslücken in Flash Player beheben.
Im Januar veröffentlichte Google Details zu mehreren Windows-Lücken, für die kein Patch vorlag. Microsoft kritisierte das Vorgehen, da es den Internetkonzern über einen bevorstehenden Patch informiert und gebeten hatte, die Veröffentlichung von Details zu verschieben. Google argumentierte damals mit der vorgegebenen Frist von 90 Tagen.
“Project Zero glaubt, dass Fristen für eine Offenlegung ein optimaler Ansatz für die Sicherheit von Nutzern sind”, hieß es in einem Blog vom 31. Dezember. Die Fristen gäben Anbietern ausreichend Zeit, Schwachstellen zu prüfen und zu beheben. Sie respektierten aber auch das Recht der Nutzer, von Bedrohungen zu erfahren. “Indem wir einem Anbieter die Möglichkeit nehmen, Details zu einem Sicherheitsproblem unbegrenzt zurückzuhalten, geben wir Nutzern die Möglichkeit, zeitnah auf Schwachstellen zu reagieren und ihr Recht als Kunde auf eine angemessene Reaktion des Anbieters einzufordern.”
Der Linux-Erfinder Linus Torvalds erklärte Mitte Januar, dass er ein “großer Verfechter der Offenlegung” von Sicherheitslücken sei. Nur “böse Hacker” profitieren vom Zurückhalten von Informationen. “Tatsache ist, dass ich absolut davon überzeugt bin, dass man sie melden muss, und man muss sie in einem angemessenen Zeitrahmen melden”, so Torvalds weiter.
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.
Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…
Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.
Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.
KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…
Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…