Google Project Zero: Hersteller schließen kritische Sicherheitslücken schneller

Viele Hersteller nehmen die Meldungen von Google inzwischen ernster und patchen schneller. Bei Browsern bleibt Apple das Schlusslicht.

Artikel veröffentlicht am , /Ulrich Bantle/Linux Magazin
Google Project Zero hat erstmals die Zahlen seiner Arbeit ausgewertet.
Google Project Zero hat erstmals die Zahlen seiner Arbeit ausgewertet. (Bild: Justin Sullivan/Getty Images)

Google hat die Daten aus seinem Project Zero ausgewertet und überprüft, wie lange Anbieter brauchen, um ihnen gemeldete Sicherheitslücken zu schließen.

Stellenmarkt
  1. Full Stack Developer (w/m/d) Marketing/E-Commerce
    dmTECH GmbH, Karlsruhe
  2. Hochschulabsolvent (w/m/d) Management Consulting
    ifb group, verschiedene Einsatzorte
Detailsuche

Das überwiegend positive Fazit: Die Anbieter reagieren schneller als noch vor einigen Jahren. Vor allem bei den meist kritischen Lücken in Webbrowsern lässt sich aber Apple mit der Webkit-Engine vergleichsweise viel Zeit.

Das Project Zero ist eine Gruppe von Google-Sicherheitsforschern, die Software auf sogenannte Zero-Day-Schwachstellen untersuchen. Das Team hat eine Auswertung der Zahlen zum Jahr 2021 veröffentlicht. Demnach hat sich die Reaktionszeit von Herstellern von der Meldung bis zum Schließen einer Lücke entscheidend verbessert. Waren es vor drei Jahren im Schnitt noch 80 Tage, belief sich die Zeit im Jahr 2021 auf durchschnittlich 52 Tage.

Zusätzlich dazu ist auch die Zahl der Anbieter gesunken, die die Frist nicht einhalten. Google gewährt auch noch 14 Tage Fristverlängerung nach den üblichen 90 Tagen bis zur Veröffentlichung der vom Project Zero gefundenen Sicherheitslücken. Im Jahr 2021 wurde den Angaben zufolge nur bei einem Fehler die Frist überschritten. Bei 14 Prozent der Fehler wurde die Fristverlängerung in Anspruch genommen.

Einige Lücken nicht oder erst spät behoben

Golem Akademie
  1. Microsoft 365 Security: virtueller Drei-Tage-Workshop
    29.06.-01.07.2022, Virtuell
  2. Informationssicherheit in der Automobilindustrie nach VDA-ISA und TISAX® mit Zertifikat: Zwei-Tage-Workshop
    19./20.07.2022, Virtuell
Weitere IT-Trainings

Project Zero arbeitet inzwischen schon fast zehn Jahre an der Aufdeckung von Sicherheitslücken. Zwischen 2019 und 2021 wurden 376 Probleme an die Anbieter gemeldet, mit der Standardfrist von 90 Tagen zur Behebung. 351 dieser Fehler wurden behoben, während 14 Prozent von den Herstellern als "nicht behoben" markiert wurden.

Elf andere Fehler wurden noch nicht behoben, wobei zum Zeitpunkt der Erstellung des Berichts acht Fehler die Frist zur Behebung überschritten hatten; die restlichen drei Fehler bewegten sich noch innerhalb der Frist zur Behebung.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Die meisten Schwachstellen konzentrieren sich auf wenige Hersteller: 96 Fehler seien Microsoft gemeldet worden, 85 an Apple und 60 an Google, heißt es im Beitrag. Für einen besseren Einblick, wie lang die Behebung eines gemeldeten Fehlers benötigt, blickt das Team auf Browser-Engines, die einerseits von dem Team selbst untersucht werden, andererseits dank des Open-Source-Codes diesen Einblick aber auch tatsächlich erlauben.

In Chrome vergehen dabei im Schnitt nur 5 Tage bis zu einer öffentlichen Behebung. Bei Firefox brauche es zwar im Schnitt 38 Tage, das Team von Mozilla schaffe es aber schneller als das Chrome-Team, diese Fehlerbehebungen auch in Builds für Nutzer zu veröffentlichen und auszuspielen, heißt es in dem Bericht.

Apple benötige für Webkit dagegen im Schnitt 78 Tage. Darüber hinaus vergehe bei Apple viel Zeit zwischen einer öffentlichen Behebung im Quellcode und der Verteilung als Update an Nutzer. Das lasse Angreifern viele Möglichkeiten.

Wie schon mit der Veröffentlichung der Lücken im Project Zero erhofft sich das Team auch mit der öffentlichen Auswertung einen positiven Einfluss auf gesamte IT-Industrie. Dank einer größeren Transparenz in Daten wie der Zeit zum Beheben von Fehlern oder der Zeit zum Ausspielen von Updates hoffe Project Zero, mehr über die damit verbundenen Probleme zu erfahren und so das Internet zu einem sichereren Ort für alle zu machen, erklärt das Team.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Halbleiter & SMIC
Chip-Nachfrage für Smartphones und PC fällt "wie ein Stein"

Chinesische Kunden von SMIC haben volle Lager und ordern weniger Chips. Andere Halbleiter sollen den Einbruch auffangen.

Halbleiter & SMIC: Chip-Nachfrage für Smartphones und PC fällt wie ein Stein
Artikel
  1. Google: Russland will Youtube aus Selbstschutz nicht blockieren
    Google
    Russland will Youtube aus Selbstschutz nicht blockieren

    Die zahlreichen Drohungen der russischen Zensurbehörde zur Blockade von Youtube werden wohl nicht umgesetzt. Die Auswirkungen wären zu stark.

  2. Arclight Rumble: Wegen Warcraft Mobile sollte sich Blizzard selbst verklagen!
    Arclight Rumble
    Wegen Warcraft Mobile sollte sich Blizzard selbst verklagen!

    Golem.de hat es gespielt: Arclight Rumble entpuppt sich als gelungenes Mobile Game - aber wie ein echtes Warcraft fühlt es sich nicht an.
    Von Peter Steinlechner

  3. Biontech: Mainz kann 365-Euro-ÖPNV-Ticket dank Corona einführen
    Biontech
    Mainz kann 365-Euro-ÖPNV-Ticket dank Corona einführen

    In Mainz ist Biontech beheimatet, was die Steuereinnahmen explodieren lässt. Mit dem Geld wird nun ein 365-Euro-Jahresticket für Schüler und Azubis finanziert.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • Cyber Week: Bis zu 900€ Rabatt auf E-Bikes • MindStar (u. a. Intel Core i9 529€, MSI RTX 3060 Ti 609€) • Gigabyte Waterforce Mainboard günstig wie nie: 480,95€ • Razer Ornata V2 Gaming-Tastatur günstig wie nie: 54,99€ • AOC G3 Gaming-Monitor 34" 165 Hz günstig wie nie: 404€ [Werbung]
    •  /