Abo
  • Services:
Anzeige
Softwarehersteller bekommen unter Umständen mehr Zeit zum Beseitigen von Sicherheitslücken.
Softwarehersteller bekommen unter Umständen mehr Zeit zum Beseitigen von Sicherheitslücken. (Bild: Google Project Zero)

Project-Zero-Fristen: Google gewährt 14-Tage-Bonus für besondere Sicherheitslücken

Softwarehersteller bekommen unter Umständen mehr Zeit zum Beseitigen von Sicherheitslücken.
Softwarehersteller bekommen unter Umständen mehr Zeit zum Beseitigen von Sicherheitslücken. (Bild: Google Project Zero)

Zum Beseitigen von Sicherheitslücken in ihren Produkten sind den Entwicklern 90 Tage manchmal nicht genug. Google nimmt sich dieses Problems nun mit seinem Project Zero an: In besonderen Fällen gibt es eine kleine Pufferzone. Mitunter werden auch bestimmte Wochentage berücksichtigt.

Anzeige

Google wird seine Regeln zur Veröffentlichung von Sicherheitslücken anpassen, wie das Unternehmen in dem Blog von Project Zero ankündigt. Für seine bisherige Politik hat Google einige Kritik einstecken müssen. So veröffentlichte Google beispielsweise vollständige Details zu gefährlichen Sicherheitslücken in OS X und in Windows. Die entdeckten Sicherheitslücken hatte Google den beiden Unternehmen gemeldet und ihnen 90 Tage Zeit gelassen, um sie zu beseitigen.

In der Zwischenzeit hätten auch andere Entdecker - sollte es sie gegeben haben - die Sicherheitslücken ausnutzen können. Die Windows-Sicherheitslücke gehörte zu einer Klasse der unangenehmsten Fehler für Anwender. Es ließen sich nämlich höhere Rechte erschleichen, was das Sicherheitskonzept vieler Unternehmen und Anwender außer Betrieb setzt, die korrekterweise nur mit Standardrechten arbeiten. Die Sicherheitslücke in Apples Betriebssystem war ähnlich gravierend, da mit einem Angriff Root-Rechte erschlichen werden konnten. Die Details zu beiden Problemen hielt Googles Project Zero für 90 Tage geheim.

Responsible Disclosure setzt Entwickler unter Druck

Mit dieser sogenannten Responsible Disclosure soll den betroffenen Unternehmen Zeit zur Entwicklung eines funktionstüchtigen Patches gegeben werden. Sie soll sie aber gleichzeitig aufgrund der drohenden Veröffentlichung zum Handeln zwingen. Dieser Zwang hilft der Produktsicherheit, wie Project Zero nach Untersuchung der eigenen Statistiken meint. Microsoft beschwerte sich daraufhin über die Sturheit von Google, da das Unternehmen die Sicherheitspatches eigentlich erst einen Monat später veröffentlichen wollte. Microsoft bat zumindest um zusätzliche zwei Tage, die jedoch nicht gewährt wurden.

In Zukunft will Google solche Fristverlängerungen mit verschiedenen Optionen ermöglichen. Eine dieser Optionen ist leicht nachvollziehbar. Fällt die Frist auf ein Wochenende oder einen Feiertag in den USA, wird Google die Sicherheitslücke erst am nächsten Werktag publizieren. Die zweite Option setzt allerdings voraus, dass der Hersteller der betroffenen Software mit Google kommuniziert. Ist ein Patch beispielsweise bereits für einen kommenden Patchday geplant, der innerhalb von 14 Tagen nach Ablauf der eigentlichen 90-Tage-Frist stattfindet, gibt es einen Bonus von bis zu 14 Tagen. Dann werden die Details zur Sicherheitslücke weiter geheimgehalten. Nur sehr außergewöhnliche Umstände sollen hier noch eine weitere Verschiebung ermöglichen. Wie diese aussehen, verrät Google nicht.

Sonderbehandlungen soll es für einzelne Hersteller nicht geben. Google bleibt dabei, dass diese Fristen für alle Hersteller von Software gleich bleiben. Das heißt, Google berücksichtigt beispielsweise nicht den Marktanteil einer von Sicherheitslücken betroffenen Software und hält so weiter den Druck aufrecht. Die Regel soll auch für eigene Produkte gelten, wie Google angibt.

In der Regel reicht die 90-Tage-Frist für die Beseitigung von Sicherheitslücken. So hat es Adobe laut Project Zero geschafft, alle 37 gemeldeten Sicherheitslücken innerhalb dieser Frist zu beseitigen. Wenn die Lücken also korrekt gemeldet werden, ist Adobe zuverlässig dabei, seine Flash-Plattform zu sichern. Problematisch sind bei Adobe allerdings die in den letzten Wochen durch Kriminelle zuerst entdeckten Sicherheitslücken, auf die auch Adobe nur hastig reagieren kann. Die Sicherheitslücken müssen dann mitunter über mehrere Tage hingenommen werden. Anwender von Adobes Flash wurden dieses Jahr bereits drei Mal von solchen Sicherheitslücken überrascht, die außerhalb eines Patchtages abgesichert werden mussten.


eye home zur Startseite
heubergen 18. Sep 2015

Es ist schlimmer, bei Apple weiss es wenigstens jeder zum vorherein. Google aber tut...

__destruct() 16. Feb 2015

Interessiert nicht. In der aktuellen Software ist der Fehler nicht drin.

Sea 16. Feb 2015

So ein blödsinn da. Das ist echt Googlebashing auf unterstem Niveau. Irgendeinen Mist...

Dwalinn 16. Feb 2015

Es heißt bis zu 14 Tage. Wenn also die 90 Tage an einen Donnerstag auslaufen hat...

Lala Satalin... 15. Feb 2015

Mein erster Gedanke war tatsächlich der, der im Artikel steht. Wenn man die Vorgeschichte...



Anzeige

Stellenmarkt
  1. Bizerba SE & Co. KG, Bochum
  2. Daimler AG, Sindelfingen
  3. Terra Canis GmbH, München
  4. Daimler AG, Düsseldorf


Anzeige
Hardware-Angebote
  1. und Civilization VI gratis erhalten
  2. 379,90€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Spielebranche

    Shadow Tactics gewinnt Deutschen Entwicklerpreis 2016

  2. Erotik-Abo-Falle

    Verdienen Mobilfunkbetreiber an WAP-Billing-Betrug mit?

  3. Final Fantasy 15

    Square Enix will die Story patchen

  4. TU Dresden

    5G-Forschung der Telekom geht in Entertain und Hybrid ein

  5. Petya-Variante

    Goldeneye-Ransomware verschickt überzeugende Bewerbungen

  6. Sony

    Mehr als 50 Millionen Playstation 4 verkauft

  7. Weltraumroboter

    Ein R2D2 für Satelliten

  8. 300 MBit/s

    Warum Super Vectoring bei der Telekom noch so lange dauert

  9. Verkehrssteuerung

    Audi vernetzt Autos mit Ampeln in Las Vegas

  10. Centriq 2400

    Qualcomm zeigt eigene Server-CPU mit 48 ARM-Kernen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gigaset Mobile Dock im Test: Das Smartphone wird DECT-fähig
Gigaset Mobile Dock im Test
Das Smartphone wird DECT-fähig

Civilization: Das Spiel mit der Geschichte
Civilization
Das Spiel mit der Geschichte
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Take 2 GTA 5 saust über die 70-Millionen-Marke
  3. Civilization 6 im Test Nachhilfestunde(n) beim Städtebau

Oculus Touch im Test: Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
Oculus Touch im Test
Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
  1. Microsoft Oculus Rift bekommt Kinomodus für Xbox One
  2. Gestensteuerung Oculus Touch erscheint im Dezember für 200 Euro
  3. Facebook Oculus zeigt drahtloses VR-Headset mit integriertem Tracking

  1. Re: Sehr schwach von Apple.

    lear | 23:04

  2. Re: Einfache Lösung:

    Moe479 | 23:03

  3. Re: Dann halt wieder wie früher

    Moe479 | 23:01

  4. Re: Digitale Zähler und "Nachtarif" würden das...

    Snooozel | 22:57

  5. Re: Qualität Filme vs. Serien

    gasm | 22:54


  1. 22:00

  2. 18:47

  3. 17:47

  4. 17:34

  5. 17:04

  6. 16:33

  7. 16:10

  8. 15:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel