Zero Day Initiative verkürzt Fristen zur Offenlegung von Schwachstellen
Sie schrumpfen unter Umständen von 120 auf 30 Tage. Die neuen Fristen gelten aber nur für unvollständige Patches. ZDI kritisiert eine Abnahme der Qualität von Sicherheitsupdates.
Die Zero Day Initiative (ZDI) wird künftig bestimmte Schwachstellen schon vor Ablauf von 120 Tagen öffentlich machen. Die neuen Fristen greifen, sobald ZDI einen Patch des Herstellers als unvollständig einstuft. Der Händler für Sicherheitslücken hofft, Druck auf Anbieter ausüben zu können, damit diese die Qualität ihrer Sicherheitsupdates verbessern.
Die zu Trend Micro gehörende Zero Day Initiative beklagt eine “verstörende” Abnahme der Qualität von Sicherheitspatches. Sie kritisiert zudem eine immer häufiger vage Kommunikation über Patches, die Unternehmen die Möglichkeit nehme, das Risiko für die eigenen Systeme korrekt einzuschätzen. Unvollständige Patches verursachten zudem unnötige Kosten für Unternehmen.
Künftig wird ZDI Details zu kritischen Sicherheitslücken bereits nach 30 Tagen offenlegen, falls ein Patch leicht umgangen werden kann und eine Ausnutzung durch Hacker als wahrscheinlich gilt. Bei Anfälligkeiten mit dem Schweregrad “kritisch” oder “hoch” gilt eine Frist von 60 Tagen, sobald ein unvollständiger Patch zumindest einen gewissen Schutz bietet und die Entwicklung eines Exploits möglich ist. 90 Tage bis zur Offenlegung gewährt ZDI für jegliche Sicherheitslücken, falls eine Variante des ursprünglichen Bugs eine Umgehung eines Patches erlaubt und mit einer zeitnahen Ausnutzung der Schwachstelle nicht zu rechnen ist.
Auch Google kritisiert unvollständige Patches
“In den letzten Jahren haben wir einen beunruhigenden Trend festgestellt: Die Qualität der Patches nimmt ab und die Kommunikation rund um die Patches nimmt ab. Dies hat dazu geführt, dass Unternehmen das Risiko für ihre Systeme nicht mehr genau einschätzen können. Außerdem kostet es sie Geld und Ressourcen, da schlechte Patches erneut veröffentlicht und somit erneut angewendet werden müssen”, heißt es in einem Blogbeitrag der Zero Day Initiative.
Neben ZDI bemängelt auch die Google-Sicherheitsforscherin Maddie Stone die Veröffentlichung unvollständiger Patches. Sie schätzt, dass die Hälfte der im ersten Halbjahr 2022 aufgetauchten Zero-Day-Lücken hätten mit besseren Patches und Tests vermieden werden können.