Zero Day Initiative verkürzt Fristen zur Offenlegung von Schwachstellen

Die Zero Day Initiative (ZDI) wird künftig bestimmte Schwachstellen schon vor Ablauf von 120 Tagen öffentlich machen. Die neuen Fristen greifen, sobald ZDI einen Patch des Herstellers als unvollständig einstuft. Der Händler für Sicherheitslücken hofft, Druck auf Anbieter ausüben zu können, damit diese die Qualität ihrer Sicherheitsupdates verbessern.

Die zu Trend Micro gehörende Zero Day Initiative beklagt eine “verstörende” Abnahme der Qualität von Sicherheitspatches. Sie kritisiert zudem eine immer häufiger vage Kommunikation über Patches, die Unternehmen die Möglichkeit nehme, das Risiko für die eigenen Systeme korrekt einzuschätzen. Unvollständige Patches verursachten zudem unnötige Kosten für Unternehmen.

Künftig wird ZDI Details zu kritischen Sicherheitslücken bereits nach 30 Tagen offenlegen, falls ein Patch leicht umgangen werden kann und eine Ausnutzung durch Hacker als wahrscheinlich gilt. Bei Anfälligkeiten mit dem Schweregrad “kritisch” oder “hoch” gilt eine Frist von 60 Tagen, sobald ein unvollständiger Patch zumindest einen gewissen Schutz bietet und die Entwicklung eines Exploits möglich ist. 90 Tage bis zur Offenlegung gewährt ZDI für jegliche Sicherheitslücken, falls eine Variante des ursprünglichen Bugs eine Umgehung eines Patches erlaubt und mit einer zeitnahen Ausnutzung der Schwachstelle nicht zu rechnen ist.

Auch Google kritisiert unvollständige Patches

“In den letzten Jahren haben wir einen beunruhigenden Trend festgestellt: Die Qualität der Patches nimmt ab und die Kommunikation rund um die Patches nimmt ab. Dies hat dazu geführt, dass Unternehmen das Risiko für ihre Systeme nicht mehr genau einschätzen können. Außerdem kostet es sie Geld und Ressourcen, da schlechte Patches erneut veröffentlicht und somit erneut angewendet werden müssen”, heißt es in einem Blogbeitrag der Zero Day Initiative.

Neben ZDI bemängelt auch die Google-Sicherheitsforscherin Maddie Stone die Veröffentlichung unvollständiger Patches. Sie schätzt, dass die Hälfte der im ersten Halbjahr 2022 aufgetauchten Zero-Day-Lücken hätten mit besseren Patches und Tests vermieden werden können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Kleinere Budgets und Fachkräftemangel fordern CISOs

Komplexität, KI, kleinere Budgets: CISOs müssen sich mehr auf die technologischen als auf die organisatorischen…

2 Tagen ago

SAP: Cloud First oder Cloud Only?

SAP will innovative Funktionen künftig hauptsächlich für Cloud-Versionen von S/4HANA bereitstellen, was sich auf die…

3 Tagen ago

KI-Boom pusht Amazons Partnergeschäft

Die Marktforscher von ISG haben 47 IT-Dienstleister untersucht, die im deutschen Ökosystem von AWS tonangebend…

3 Tagen ago

Lünendonk untersucht Robotereinsatz in Kliniken

Serviceroboter entwickelt sich zum zentralen Bestandteil moderner Gebäudedienste. Reinigungsaufgaben stehen derzeit im Vordergrund.

4 Tagen ago

SAP S/4 HANA wird digitaler Kern des Maschinenbauers Harro Höfliger

Spezialist für Produktions- und Verpackungsmaschinen setzt auf All for One

5 Tagen ago

Grenzüberschreitender Einsatz generativer KI verursacht Datenschutzverletzungen

Das Fehlen einheitlicher globaler KI-Standards zwingt Organisationen dazu, regionsspezifische Strategien zu entwickeln, was die Skalierbarkeit…

6 Tagen ago