• IT-Karriere:
  • Services:

Project Zero: Googles Bug-Jäger wollen weniger schludrige Patches

Im laufenden Jahr wollen Googles Security-Bug-Forscher des Project Zero die Disclosure-Richtlinien ändern. Das soll betroffenen Unternehmen nicht nur Updates erleichtern, sondern vor allem die Qualität der Patches verbessern.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin/
Googles Project Zero ändert den Umgang mit der Veröffentlichung von Sicherheitslücken.
Googles Project Zero ändert den Umgang mit der Veröffentlichung von Sicherheitslücken. (Bild: REUTERS/Charles Platiau/File Photo)

Das Project Zero von Google sucht und findet immer wieder extrem gefährliche und sehr weitreichende Sicherheitslücken, etwa in Whatsapp, iPhones oder auch Windows. Im laufenden Jahr 2020 will das Team aber anders als bisher Details zu einer Lücke konsequent immer erst nach 90 Tagen veröffentlichen, wie das Team in seinem Blog mitteilt. Das soll vor allem die Qualität der Patches verbessern.

Stellenmarkt
  1. FLYERALARM Digital GmbH, Würzburg
  2. Landkreis Stade, Stade

In seinem Blogpost weist das Team zunächst auf die bisherigen Erfolge hin: So reparierten inzwischen 97,7 Prozent der Hersteller die von Project Zero gemeldeten Lücken innerhalb der 90-Tage-Frist. Diese Frist setzt das Projekt, bevor es Details zu den Lücken veröffentlicht. Sind die Patches jedoch früher verfügbar, veröffentlicht Project Zero auch seine Erkenntnisse eher.

Hier gibt es aber eine Änderung: Veröffentlichte Googles Project Zero die Daten bislang nach 90 Tagen oder nach dem Schließen der Lücken, gilt nun generell eine Frist von 90 Tagen. Nur wenn das betroffene Unternehmen oder Projekt es explizit fordert, verkürzt Google diese Frist. Der Grund dafür steckt in den ebenfalls geänderten Zielen des Teams. Hier kommen die Punkte "Sorgfältige Patch-Entwicklung" und "Verbesserte Patch-Übernahme" zum Tragen.

Laut dem Blogeintrag liefern die Unternehmen dank Googles Druck nun tatsächlich schneller Patches, oft sind diese aber auch eher schludrig. Veröffentlicht Google dann Details zur Lücke, kann es vorkommen, dass die Patches eben nicht ausreichend überprüft wurden. Die Angriffe funktionieren dann aber mit leichten Abänderungen weiterhin. Hier will Project Zero mit der neuen Richtlinie offenbar den Druck reduzieren. Auch reicht es oft eben nicht, einen Bug nur zu beheben. Die Nutzer der Software müssen von dem Patch erfahren und ihn einspielen, was häufig einige Tests im Vorfeld mit sich bringt. Auch dafür bleibe dank der 90-Tage-Standardfrist nun mehr Zeit, heißt es in dem Blogeintrag.

Das Team des Project Zero knüpft allerdings etwas widersprüchliche Erwartungen an die Änderung. Einerseits hofft es, dass die Anbieter ihre Lücken schneller schließen, um mehr Zeit für das Verbreiten der Patches zu haben. Andererseits setzt es darauf, dass die Anbieter sorgfältigere Patches schreiben, was aber in der Regel länger dauern dürfte. Weil auch das Project-Zero-Team nicht genau weiß, wie das Rennen am Ende ausgeht, will es die neuen Richtlinien zunächst für 12 Monate testen und dann evaluieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-72%) 16,99€
  2. (-30%) 41,99€
  3. (-20%) 47,99€

Dakkaron 09. Jan 2020 / Themenstart

Ja, die Nicht-Entwickler stellen sich das immer so einfach vor. Aber selbst wenn der Fix...

Kommentieren


Folgen Sie uns
       


Google Stadia - Test

Beim Test haben wir verschiedene Spiele auf Stadia von Google ausprobiert und uns mit der Einrichtung und dem Zugang beschäftigt.

Google Stadia - Test Video aufrufen
Arbeit: Warum anderswo mehr Frauen IT-Berufe ergreifen
Arbeit
Warum anderswo mehr Frauen IT-Berufe ergreifen

In Deutschland ist die Zahl der Frauen in IT-Studiengängen und -Berufen viel niedriger als die der Männer. Doch in anderen Ländern sieht es ganz anders aus, etwa im arabischen Raum. Warum?
Von Valerie Lux

  1. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
  2. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig
  3. Bewerber für IT-Jobs Unzureichend qualifiziert, zu wenig erfahren oder zu teuer

Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Datenleck Microsoft-Datenbank mit 250 Millionen Support-Fällen im Netz
  2. Office 365 Microsoft testet Werbebanner in Wordpad für Windows 10
  3. Application Inspector Microsoft legt Werkzeug zur Code-Analyse offen

Kaufberatung (2020): Die richtige CPU und Grafikkarte
Kaufberatung (2020)
Die richtige CPU und Grafikkarte

Grafikkarten und Prozessoren wurden 2019 deutlich besser, denn AMD ist komplett auf 7-nm-Technik umgestiegen. Intel hat zwar 10-nm-Chips marktreif, die Leistung stagniert aber und auch Nvidia verkauft nur 12-nm-Designs. Wir beraten bei Komponenten und geben einen Ausblick.
Von Marc Sauter

  1. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen
  2. Schnittstelle PCIe Gen6 verdoppelt erneut Datenrate

    •  /