Project Zero: Googles Bug-Jäger wollen weniger schludrige Patches

Im laufenden Jahr wollen Googles Security-Bug-Forscher des Project Zero die Disclosure-Richtlinien ändern. Das soll betroffenen Unternehmen nicht nur Updates erleichtern, sondern vor allem die Qualität der Patches verbessern.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin/
Googles Project Zero ändert den Umgang mit der Veröffentlichung von Sicherheitslücken.
Googles Project Zero ändert den Umgang mit der Veröffentlichung von Sicherheitslücken. (Bild: REUTERS/Charles Platiau/File Photo)

Das Project Zero von Google sucht und findet immer wieder extrem gefährliche und sehr weitreichende Sicherheitslücken, etwa in Whatsapp, iPhones oder auch Windows. Im laufenden Jahr 2020 will das Team aber anders als bisher Details zu einer Lücke konsequent immer erst nach 90 Tagen veröffentlichen, wie das Team in seinem Blog mitteilt. Das soll vor allem die Qualität der Patches verbessern.

Stellenmarkt
  1. Process Manager Fulfillment (m/w/d)
    Endress+Hauser Conducta GmbH+Co. KG, Gerlingen
  2. Solution Architect Enterprise Integration & API Platform (m/w / divers)
    Lufthansa Cargo AG, Frankfurt am Main
Detailsuche

In seinem Blogpost weist das Team zunächst auf die bisherigen Erfolge hin: So reparierten inzwischen 97,7 Prozent der Hersteller die von Project Zero gemeldeten Lücken innerhalb der 90-Tage-Frist. Diese Frist setzt das Projekt, bevor es Details zu den Lücken veröffentlicht. Sind die Patches jedoch früher verfügbar, veröffentlicht Project Zero auch seine Erkenntnisse eher.

Hier gibt es aber eine Änderung: Veröffentlichte Googles Project Zero die Daten bislang nach 90 Tagen oder nach dem Schließen der Lücken, gilt nun generell eine Frist von 90 Tagen. Nur wenn das betroffene Unternehmen oder Projekt es explizit fordert, verkürzt Google diese Frist. Der Grund dafür steckt in den ebenfalls geänderten Zielen des Teams. Hier kommen die Punkte "Sorgfältige Patch-Entwicklung" und "Verbesserte Patch-Übernahme" zum Tragen.

Laut dem Blogeintrag liefern die Unternehmen dank Googles Druck nun tatsächlich schneller Patches, oft sind diese aber auch eher schludrig. Veröffentlicht Google dann Details zur Lücke, kann es vorkommen, dass die Patches eben nicht ausreichend überprüft wurden. Die Angriffe funktionieren dann aber mit leichten Abänderungen weiterhin. Hier will Project Zero mit der neuen Richtlinie offenbar den Druck reduzieren. Auch reicht es oft eben nicht, einen Bug nur zu beheben. Die Nutzer der Software müssen von dem Patch erfahren und ihn einspielen, was häufig einige Tests im Vorfeld mit sich bringt. Auch dafür bleibe dank der 90-Tage-Standardfrist nun mehr Zeit, heißt es in dem Blogeintrag.

Golem Karrierewelt
  1. Go für Einsteiger: virtueller Zwei-Tages-Workshop
    25./26.07.2022, Virtuell
  2. Container Technologie: Docker und Kubernetes - Theorie und Praxis: virtueller Drei-Tage-Workshop
    04.-07.07.2022, virtuell
Weitere IT-Trainings

Das Team des Project Zero knüpft allerdings etwas widersprüchliche Erwartungen an die Änderung. Einerseits hofft es, dass die Anbieter ihre Lücken schneller schließen, um mehr Zeit für das Verbreiten der Patches zu haben. Andererseits setzt es darauf, dass die Anbieter sorgfältigere Patches schreiben, was aber in der Regel länger dauern dürfte. Weil auch das Project-Zero-Team nicht genau weiß, wie das Rennen am Ende ausgeht, will es die neuen Richtlinien zunächst für 12 Monate testen und dann evaluieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Erster Einsatz einer US-Kamikazedrohne dokumentiert

Eine Switchblade-Drohne hat offenbar einen russischen Panzer getroffen. Dessen Besatzung soll sich auf dem Turm mit Alkohol vergnügt haben.

Ukrainekrieg: Erster Einsatz einer US-Kamikazedrohne dokumentiert
Artikel
  1. Heimnetze: Die Masche mit dem Nachbarn
    Heimnetze
    Die Masche mit dem Nachbarn

    Heimnetze sind Inseln mit einer schmalen und einsamen Anbindung zum Internet. Warum eine Öffnung dieser strengen Isolation sinnvoll ist.
    Von Jochen Demmer

  2. Deutsche Bahn: 9-Euro-Ticket gilt nicht in allen Nahverkehrszügen
    Deutsche Bahn  
    9-Euro-Ticket gilt nicht in allen Nahverkehrszügen

    So einfach ist es dann noch nicht: Das 9-Euro-Ticket gilt nicht in allen Zügen, die mit einem Nahverkehrsticket genutzt werden können.

  3. Übernahme: Twitter zahlt Millionenstrafe und Musk schichtet um
    Übernahme
    Twitter zahlt Millionenstrafe und Musk schichtet um

    Die US-Regierung sieht Twitter als Wiederholungstäter bei Datenschutzverstößen und Elon Musk will sich das Geld für die Übernahme nun anders besorgen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Mindstar (u. a. Palit RTX 3050 Dual 319€, MSI MPG X570 Gaming Plus 119€ und be quiet! Shadow Rock Slim 2 29€) • Days of Play (u. a. PS5-Controller 49,99€) • Viewsonic-Monitore günstiger • Alternate (u. a. Razer Tetra 12€) • Marvel's Avengers PS4 9,99€ • Sharkoon Light² 200 21,99€ [Werbung]
    •  /