Abo
  • Services:
Anzeige
Google-Chef Larry Page
Google-Chef Larry Page (Bild: Justin Sullivan / Getty Images)

Sicherheitslücken: Google gibt Herstellern nur noch 7 Tage

Googles Sicherheitsforscher sollen Sicherheitslücken in Software anderer Hersteller künftig schon nach sieben Tagen veröffentlichen, wenn diese aktiv von Angreifern ausgenutzt werden - auch dann, wenn der Hersteller sie noch nicht geschlossen hat. Das ist auch ein Angriff auf die Sicherheitspolitik von Microsoft und Oracle.

Wann soll jemand, der eine Sicherheitslücke in einer Software eines anderen entdeckt, die Öffentlichkeit darüber informieren? Das ist eine Frage ohne richtige Antwort: Die einen argumentieren, Sicherheitslücken dürften nicht öffentlich gemacht werden, bevor der jeweilige Hersteller den Fehler korrigiert hat, die anderen fordern eine sofortige Veröffentlichung ohne jede Rücksichtnahme. Die meisten wählen einen Mittelweg und räumen Herstellern eine gewisse Zeit ein, um den Fehler zu beseitigen. Denn wird eine Sicherheitslücke bekannt, bevor sie geschlossen ist, bietet das Angreifern die Chance, die Informationen zu verwenden, um den Nutzern der jeweiligen Software zu schaden.

Anzeige

Das gilt auch für Google, dessen Sicherheitsforscher immer wieder sogenannte Zero-Day-Sicherheitslücken in der Software von anderen Unternehmen entdecken, also Sicherheitslücken, die der Öffentlichkeit bis dahin unbekannt sind. In diesen Fällen informieren sie den jeweiligen Hersteller. Dabei gab Google Drittherstellern bislang 60 Tage Zeit, die Sicherheitslücke zu schließen oder zumindest Schutzmaßnahmen zu empfehlen. Brauchte ein Hersteller länger, riet Google Sicherheitsforschern bisher, die Lücken trotzdem zu veröffentlichen.

Werde eine Sicherheitslücke aktiv ausgenutzt, seien 60 Tage aber zu lang, schreiben Googles Sicherheitsforscher Chris Evans und Drew Hintz in einem Blogeintrag. Das gelte ganz besonders dann, wenn es nur gezielte Angriffe auf bestimmte Nutzergruppen gebe, politische Aktivisten beispielsweise, deren Sicherheit im realen Leben gefährdet ist, sollten ihre Systeme kompromittiert werden.

Daher gibt Google für Zero-Day-Lücken, die bereits aktiv ausgenutzt werden, eine neue Richtlinie aus: Hersteller haben künftig nur noch sieben Tage Zeit, bis solche Sicherheitslücken veröffentlicht werden, ganz gleich ob eine Korrektur oder ein Workaround vorliegt. An jedem Tag, an dem eine aktiv ausgenutzte Sicherheitslücke unveröffentlicht und ungepacht bleibe, würden mehr Computer kompromittiert, argumentiert Google.

Sieben Tage sind sehr wenig

Evans und Hintz räumen ein, dass die Zeitspanne von sieben Tagen für manche Hersteller nicht ausreichend ist, um ihre Produkte zu aktualisieren. Denn es ist nicht damit getan, den jeweiligen Fehler zu korrigieren, die geänderte Software muss anschließend auch getestet werden. Nach Ansicht von Evans und Hintz sollten von sieben Tage aber dafür ausreichen, dass Hersteller ihren eigenen Kunden erklären, wie sie sich gegen entsprechende Angriffe schützen können, beispielsweise, indem sie bestimmte Dienste deaktivieren.

Nach Ablauf der Sieben-Tage-Frist will Google Sicherheitsforscher dabei unterstützen, Details zu den gefundenen Sicherheitslücken zu veröffentlichen, anhand derer sich Nutzer schützen können. Die Regel soll ausdrücklich auch für Sicherheitslücken gelten, die in Googles Software gefunden werden.

Implizite Kritik an Microsoft und Oracle

Googles neue Richtlinie ist auch eine implizite Kritik an Microsoft und Oracle sowie ein Angriff auf deren Sicherheitspolitik: Microsoft veröffentlicht in aller Regel nur einmal im Monat Sicherheitsupdates für seine Produkte. Lediglich bei öffentlich bekanntgewordenen Sicherheitslücken, die aktiv ausgenutzt wurden, hat Microsoft in der jüngeren Vergangenheit mit sogenannten Hot-Fixes reagiert.

Von den rund 57 im Februar 2013 von Microsoft geschlossenen Sicherheitslücken wurden 32 von Google direkt an Microsoft gemeldet. Immerhin zwei der beim letzten Microsoft-Patchday im Mai 2013 geschlossenen Sicherheitslücken kamen von Google und erst vor zwei Wochen veröffentlichte Googles Sicherheitsforscher Tavis Ormandy eine Zero-Day-Lücke in Windows 7 und 8, noch bevor Microsoft sie geschlossen hatte. Er kommentierte dies mit den Worten: "Ich habe nicht viel freie Zeit, um mich mit dummem Microsoft-Code zu beschäftigen".

Oracle veröffentlicht Sicherheitsupdates in aller Regel sogar nur einmal im Quartal.

Mit einem Patchrhythmus von einem Monat bzw. drei Monaten dürften Microsoft und Oracle die von Google nun auf sieben Tage verkürzte Frist in vielen Fällen nicht einhalten können und müssen damit rechnen, dass von Google entdeckte Sicherheitslücken künftig bekanntwerden, bevor sie dafür einen Patch veröffentlicht haben. Das dürfte so manchen Anbieter schlecht aussehen lassen.


eye home zur Startseite
WilliTheSmith 01. Jun 2013

Schreib dir ein kleines Skript und führe es täglich mittels eines Cronjobs aus, fertig...

Nephtys 30. Mai 2013

Ja, aber bei den Script-Kiddies ohne wirkliches Wissen oder Kontakte nicht. Und die sind...

Nephtys 30. Mai 2013

das AOSP bringt dann relativ schnell eine neue Version raus, außerdem ändern sich eh die...

__destruct() 30. Mai 2013

Da fällt mir ein: Ich habe meinen Desktop-PC jetzt bestimmt schon wieder ein dreiviertel...

hjp 30. Mai 2013

"sogenannte Zero-Day-Sicherheitslücken in der Software von anderen Unternehmen entdecken...



Anzeige

Stellenmarkt
  1. AOK Rheinland/Hamburg - Die Gesundheitskasse, Köln
  2. Vodafone GmbH, Düsseldorf
  3. Daimler AG, Sindelfingen
  4. Fresenius Medical Care Deutschland GmbH, Bad Homburg


Anzeige
Spiele-Angebote
  1. 10,99€
  2. (-15%) 42,49€
  3. (-60%) 7,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Brandgefahr

    Akku mit eingebautem Feuerlöscher

  2. Javascript und Node.js

    NPM ist weltweit größtes Paketarchiv

  3. Verdacht der Bestechung

    Staatsanwalt beantragt Haftbefehl gegen Samsung-Chef

  4. Nintendo Switch im Hands on

    Die Rückkehr der Fuchtel-Ritter

  5. Raspberry Pi

    Compute Module 3 ist verfügbar

  6. Microsoft

    Hyper-V bekommt Schnellassistenten und Speicherfragmente

  7. Airbus-Chef

    Fliegen ohne Piloten rückt näher

  8. Cartapping

    Autos werden seit 15 Jahren digital verwanzt

  9. Auto

    Die Kopfstütze des Fahrersitzes erkennt Sekundenschlaf

  10. World of Warcraft

    Fans der Classic-Version bereuen "Piraten-Server"



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. Audio Injector Octo Raspberry Pi spielt Surround-Sound
  2. Raspberry Pi Pixel-Desktop erscheint auch für große Rechner
  3. Raspberry Pi Schutz gegen Übernahme durch Hacker und Botnetze verbessert

Autonomes Fahren: Wenn die Strecke dem Zug ein Telegramm schickt
Autonomes Fahren
Wenn die Strecke dem Zug ein Telegramm schickt
  1. Fahrgastverband "WLAN im Zug funktioniert ordentlich"
  2. Deutsche Bahn WLAN im ICE wird kostenlos
  3. Mobilfunk Telekom baut LTE an Regionalbahnstrecken aus

  1. Re: WoW 2 wäre mal ganz cool

    ahoihoi | 15:51

  2. Re: Selbst Landungen

    Amalie Ohrenhart | 15:51

  3. Re: Anti-Serum gegen Poisoned Tree-Gift

    Guitarhero | 15:49

  4. Re: Abwärtskompatibel?

    TarikVaineTree | 15:49

  5. Re: ob das klappt?

    NeoTiger | 15:48


  1. 14:17

  2. 13:21

  3. 12:30

  4. 12:08

  5. 12:01

  6. 11:58

  7. 11:48

  8. 11:47


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel