Project Zero: Googles Bug-Jäger wollen weniger schludrige Patches

Im laufenden Jahr wollen Googles Security-Bug-Forscher des Project Zero die Disclosure-Richtlinien ändern. Das soll betroffenen Unternehmen nicht nur Updates erleichtern, sondern vor allem die Qualität der Patches verbessern.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin/
Googles Project Zero ändert den Umgang mit der Veröffentlichung von Sicherheitslücken.
Googles Project Zero ändert den Umgang mit der Veröffentlichung von Sicherheitslücken. (Bild: REUTERS/Charles Platiau/File Photo)

Das Project Zero von Google sucht und findet immer wieder extrem gefährliche und sehr weitreichende Sicherheitslücken, etwa in Whatsapp, iPhones oder auch Windows. Im laufenden Jahr 2020 will das Team aber anders als bisher Details zu einer Lücke konsequent immer erst nach 90 Tagen veröffentlichen, wie das Team in seinem Blog mitteilt. Das soll vor allem die Qualität der Patches verbessern.

Stellenmarkt
  1. Data Warehouse Entwickler/ETL-Entwickler (m/w/d)
    SBK Siemens-Betriebskrankenkasse, München
  2. Verwaltungsmitarbeiter als Fachberater SGB IX (m/w/d)
    KVJS - Kommunalverband für Jugend und Soziales Baden-Württemberg, Karlsruhe
Detailsuche

In seinem Blogpost weist das Team zunächst auf die bisherigen Erfolge hin: So reparierten inzwischen 97,7 Prozent der Hersteller die von Project Zero gemeldeten Lücken innerhalb der 90-Tage-Frist. Diese Frist setzt das Projekt, bevor es Details zu den Lücken veröffentlicht. Sind die Patches jedoch früher verfügbar, veröffentlicht Project Zero auch seine Erkenntnisse eher.

Hier gibt es aber eine Änderung: Veröffentlichte Googles Project Zero die Daten bislang nach 90 Tagen oder nach dem Schließen der Lücken, gilt nun generell eine Frist von 90 Tagen. Nur wenn das betroffene Unternehmen oder Projekt es explizit fordert, verkürzt Google diese Frist. Der Grund dafür steckt in den ebenfalls geänderten Zielen des Teams. Hier kommen die Punkte "Sorgfältige Patch-Entwicklung" und "Verbesserte Patch-Übernahme" zum Tragen.

Laut dem Blogeintrag liefern die Unternehmen dank Googles Druck nun tatsächlich schneller Patches, oft sind diese aber auch eher schludrig. Veröffentlicht Google dann Details zur Lücke, kann es vorkommen, dass die Patches eben nicht ausreichend überprüft wurden. Die Angriffe funktionieren dann aber mit leichten Abänderungen weiterhin. Hier will Project Zero mit der neuen Richtlinie offenbar den Druck reduzieren. Auch reicht es oft eben nicht, einen Bug nur zu beheben. Die Nutzer der Software müssen von dem Patch erfahren und ihn einspielen, was häufig einige Tests im Vorfeld mit sich bringt. Auch dafür bleibe dank der 90-Tage-Standardfrist nun mehr Zeit, heißt es in dem Blogeintrag.

Golem Akademie
  1. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    26. - 28. Oktober 2021, online
  2. Data Engineering mit Apache Spark
    27.-28. September 2021, online
Weitere IT-Trainings

Das Team des Project Zero knüpft allerdings etwas widersprüchliche Erwartungen an die Änderung. Einerseits hofft es, dass die Anbieter ihre Lücken schneller schließen, um mehr Zeit für das Verbreiten der Patches zu haben. Andererseits setzt es darauf, dass die Anbieter sorgfältigere Patches schreiben, was aber in der Regel länger dauern dürfte. Weil auch das Project-Zero-Team nicht genau weiß, wie das Rennen am Ende ausgeht, will es die neuen Richtlinien zunächst für 12 Monate testen und dann evaluieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Neues Betriebssystem von Microsoft
Wir probieren Windows 11 aus

Windows 11 ist bereits im Umlauf. Wir haben die Vorabversion ausprobiert und ein schickes OS durchstöbert. Im Kern ist es aber Windows 10.
Ein Hands-on von Oliver Nickel

Neues Betriebssystem von Microsoft: Wir probieren Windows 11 aus
Artikel
  1. Niedrige Inzidenzen: Homeoffice-Pflicht soll am 30. Juni enden
    Niedrige Inzidenzen
    Homeoffice-Pflicht soll am 30. Juni enden

    Die allgemeine Pflicht zum Homeoffice soll Ende des Monats fallen. Coronatests sollen aber weiterhin in Betrieben angeboten werden.

  2. Nach Juni 2022: Europäische Union will freies Roaming verlängern
    Nach Juni 2022
    Europäische Union will freies Roaming verlängern

    Die Regelung vom Juni 2017 soll verlängert und verbessert werden. Ein Ende von 'Roam like at home' wäre undenkbar.

  3. Websicherheit: Wie KenFM von Anonymous gehackt wurde
    Websicherheit
    Wie KenFM von Anonymous gehackt wurde

    Die Webseite AnonLeaks berichtet, wie das Defacement von KenFM ablief: durch abrufbare Backupdaten und das Wordpress-Plugin Duplicator Pro.
    Von Hanno Böck

Dakkaron 09. Jan 2020

Ja, die Nicht-Entwickler stellen sich das immer so einfach vor. Aber selbst wenn der Fix...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense Midnight Black + Ratchet & Clank Rift Apart 99,99€ • Saturn Super Sale (u. a. Samsung 65" QLED (2021) 1.294€) • MSI 27" FHD 144Hz 269€ • Razer Naga Pro Gaming-Maus 119,99€ • Apple iPad Pro 12,9" 256GB 909€ [Werbung]
    •  /