• IT-Karriere:
  • Services:

Project Zero: Googles Bug-Jäger wollen weniger schludrige Patches

Im laufenden Jahr wollen Googles Security-Bug-Forscher des Project Zero die Disclosure-Richtlinien ändern. Das soll betroffenen Unternehmen nicht nur Updates erleichtern, sondern vor allem die Qualität der Patches verbessern.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin/
Googles Project Zero ändert den Umgang mit der Veröffentlichung von Sicherheitslücken.
Googles Project Zero ändert den Umgang mit der Veröffentlichung von Sicherheitslücken. (Bild: REUTERS/Charles Platiau/File Photo)

Das Project Zero von Google sucht und findet immer wieder extrem gefährliche und sehr weitreichende Sicherheitslücken, etwa in Whatsapp, iPhones oder auch Windows. Im laufenden Jahr 2020 will das Team aber anders als bisher Details zu einer Lücke konsequent immer erst nach 90 Tagen veröffentlichen, wie das Team in seinem Blog mitteilt. Das soll vor allem die Qualität der Patches verbessern.

Stellenmarkt
  1. Allianz Deutschland AG, Stuttgart
  2. OEDIV KG, Bielefeld

In seinem Blogpost weist das Team zunächst auf die bisherigen Erfolge hin: So reparierten inzwischen 97,7 Prozent der Hersteller die von Project Zero gemeldeten Lücken innerhalb der 90-Tage-Frist. Diese Frist setzt das Projekt, bevor es Details zu den Lücken veröffentlicht. Sind die Patches jedoch früher verfügbar, veröffentlicht Project Zero auch seine Erkenntnisse eher.

Hier gibt es aber eine Änderung: Veröffentlichte Googles Project Zero die Daten bislang nach 90 Tagen oder nach dem Schließen der Lücken, gilt nun generell eine Frist von 90 Tagen. Nur wenn das betroffene Unternehmen oder Projekt es explizit fordert, verkürzt Google diese Frist. Der Grund dafür steckt in den ebenfalls geänderten Zielen des Teams. Hier kommen die Punkte "Sorgfältige Patch-Entwicklung" und "Verbesserte Patch-Übernahme" zum Tragen.

Laut dem Blogeintrag liefern die Unternehmen dank Googles Druck nun tatsächlich schneller Patches, oft sind diese aber auch eher schludrig. Veröffentlicht Google dann Details zur Lücke, kann es vorkommen, dass die Patches eben nicht ausreichend überprüft wurden. Die Angriffe funktionieren dann aber mit leichten Abänderungen weiterhin. Hier will Project Zero mit der neuen Richtlinie offenbar den Druck reduzieren. Auch reicht es oft eben nicht, einen Bug nur zu beheben. Die Nutzer der Software müssen von dem Patch erfahren und ihn einspielen, was häufig einige Tests im Vorfeld mit sich bringt. Auch dafür bleibe dank der 90-Tage-Standardfrist nun mehr Zeit, heißt es in dem Blogeintrag.

Das Team des Project Zero knüpft allerdings etwas widersprüchliche Erwartungen an die Änderung. Einerseits hofft es, dass die Anbieter ihre Lücken schneller schließen, um mehr Zeit für das Verbreiten der Patches zu haben. Andererseits setzt es darauf, dass die Anbieter sorgfältigere Patches schreiben, was aber in der Regel länger dauern dürfte. Weil auch das Project-Zero-Team nicht genau weiß, wie das Rennen am Ende ausgeht, will es die neuen Richtlinien zunächst für 12 Monate testen und dann evaluieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (aktuell u. a. Sandisk Ultra 3D SATA-SSD 500GB für 61,99€, Sandisk Extreme Pro M.2 NVMe-SSD 1TB...
  2. 341,95€ (inkl. Rabattcode "POWERTECH20" - Bestpreis)
  3. 55,99€
  4. 41,99€ (statt 59,90€)

Dakkaron 09. Jan 2020

Ja, die Nicht-Entwickler stellen sich das immer so einfach vor. Aber selbst wenn der Fix...


Folgen Sie uns
       


Xiaomi Mi 10 Pro - Test

Das Mi 10 Pro ist Xiaomis jüngstes Top-Smartphone. Im Test überzeugt vor allem die Kamera.

Xiaomi Mi 10 Pro - Test Video aufrufen
    •  /