• IT-Karriere:
  • Services:

Project Zero: Googles Bug-Jäger wollen weniger schludrige Patches

Im laufenden Jahr wollen Googles Security-Bug-Forscher des Project Zero die Disclosure-Richtlinien ändern. Das soll betroffenen Unternehmen nicht nur Updates erleichtern, sondern vor allem die Qualität der Patches verbessern.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin/
Googles Project Zero ändert den Umgang mit der Veröffentlichung von Sicherheitslücken.
Googles Project Zero ändert den Umgang mit der Veröffentlichung von Sicherheitslücken. (Bild: REUTERS/Charles Platiau/File Photo)

Das Project Zero von Google sucht und findet immer wieder extrem gefährliche und sehr weitreichende Sicherheitslücken, etwa in Whatsapp, iPhones oder auch Windows. Im laufenden Jahr 2020 will das Team aber anders als bisher Details zu einer Lücke konsequent immer erst nach 90 Tagen veröffentlichen, wie das Team in seinem Blog mitteilt. Das soll vor allem die Qualität der Patches verbessern.

Stellenmarkt
  1. Kassenärztliche Vereinigung Sachsen (KVS), Dresden
  2. R2 Consulting GmbH, Bayern

In seinem Blogpost weist das Team zunächst auf die bisherigen Erfolge hin: So reparierten inzwischen 97,7 Prozent der Hersteller die von Project Zero gemeldeten Lücken innerhalb der 90-Tage-Frist. Diese Frist setzt das Projekt, bevor es Details zu den Lücken veröffentlicht. Sind die Patches jedoch früher verfügbar, veröffentlicht Project Zero auch seine Erkenntnisse eher.

Hier gibt es aber eine Änderung: Veröffentlichte Googles Project Zero die Daten bislang nach 90 Tagen oder nach dem Schließen der Lücken, gilt nun generell eine Frist von 90 Tagen. Nur wenn das betroffene Unternehmen oder Projekt es explizit fordert, verkürzt Google diese Frist. Der Grund dafür steckt in den ebenfalls geänderten Zielen des Teams. Hier kommen die Punkte "Sorgfältige Patch-Entwicklung" und "Verbesserte Patch-Übernahme" zum Tragen.

Laut dem Blogeintrag liefern die Unternehmen dank Googles Druck nun tatsächlich schneller Patches, oft sind diese aber auch eher schludrig. Veröffentlicht Google dann Details zur Lücke, kann es vorkommen, dass die Patches eben nicht ausreichend überprüft wurden. Die Angriffe funktionieren dann aber mit leichten Abänderungen weiterhin. Hier will Project Zero mit der neuen Richtlinie offenbar den Druck reduzieren. Auch reicht es oft eben nicht, einen Bug nur zu beheben. Die Nutzer der Software müssen von dem Patch erfahren und ihn einspielen, was häufig einige Tests im Vorfeld mit sich bringt. Auch dafür bleibe dank der 90-Tage-Standardfrist nun mehr Zeit, heißt es in dem Blogeintrag.

Das Team des Project Zero knüpft allerdings etwas widersprüchliche Erwartungen an die Änderung. Einerseits hofft es, dass die Anbieter ihre Lücken schneller schließen, um mehr Zeit für das Verbreiten der Patches zu haben. Andererseits setzt es darauf, dass die Anbieter sorgfältigere Patches schreiben, was aber in der Regel länger dauern dürfte. Weil auch das Project-Zero-Team nicht genau weiß, wie das Rennen am Ende ausgeht, will es die neuen Richtlinien zunächst für 12 Monate testen und dann evaluieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 52,79€
  2. 68,23€ (Release 03.12.)
  3. 26,99€

Dakkaron 09. Jan 2020

Ja, die Nicht-Entwickler stellen sich das immer so einfach vor. Aber selbst wenn der Fix...


Folgen Sie uns
       


ANC-Kopfhörer im Vergleich

Wir haben Sonys neuen WH-1000XM4 bei der ANC-Leistung gegen Sonys alten WH-1000XM3 und Boses Noise Cancelling Headphones 700 antreten lassen.

ANC-Kopfhörer im Vergleich Video aufrufen
Librem Mini v2 im Test: Der kleine Graue mit dem freien Bios
Librem Mini v2 im Test
Der kleine Graue mit dem freien Bios

Der neue Librem Mini eignet sich nicht nur perfekt für Linux, sondern hat als einer von ganz wenigen Rechnern die freie Firmware Coreboot und einen abgesicherten Bootprozess.
Ein Test von Moritz Tremmel

  1. Purism Neuer Librem Mini mit Comet Lake
  2. Librem 14 Purism-Laptops bekommen 6 Kerne und 14-Zoll-Display
  3. Librem Mini Purism bringt NUC-artigen Mini-PC

No One Lives Forever: Ein Retrogamer stirbt nie
No One Lives Forever
Ein Retrogamer stirbt nie

Kompatibilitätsprobleme und schlimme Sprachausgabe - egal. Golem.de hat den 20 Jahre alten Shooter-Klassiker No One Lives Forever trotzdem neu gespielt.
Von Benedikt Plass-Fleßenkämper

  1. Heimcomputer Retro Games plant Amiga-500-Nachbau
  2. Klassische Spielkonzepte Retro, brandneu
  3. Gaming-Handheld Analogue Pocket erscheint erst 2021

Made in USA: Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren
Made in USA
Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren

Zu unbequemen Fragen schweigen die Transatlantiker Manuel Höferlin, Falko Mohrs, Metin Hakverdi, Norbert Röttgen und Friedrich Merz. Das wirkt unredlich.
Eine Recherche von Achim Sawall

  1. Sandworm Hacker nutzen alte Exim-Sicherheitslücke aus

    •  /