Abo
  • Services:
Anzeige
Google-Chef Larry Page
Google-Chef Larry Page (Bild: Justin Sullivan / Getty Images)

Sicherheitslücken: Google gibt Herstellern nur noch 7 Tage

Google-Chef Larry Page
Google-Chef Larry Page (Bild: Justin Sullivan / Getty Images)

Googles Sicherheitsforscher sollen Sicherheitslücken in Software anderer Hersteller künftig schon nach sieben Tagen veröffentlichen, wenn diese aktiv von Angreifern ausgenutzt werden - auch dann, wenn der Hersteller sie noch nicht geschlossen hat. Das ist auch ein Angriff auf die Sicherheitspolitik von Microsoft und Oracle.

Wann soll jemand, der eine Sicherheitslücke in einer Software eines anderen entdeckt, die Öffentlichkeit darüber informieren? Das ist eine Frage ohne richtige Antwort: Die einen argumentieren, Sicherheitslücken dürften nicht öffentlich gemacht werden, bevor der jeweilige Hersteller den Fehler korrigiert hat, die anderen fordern eine sofortige Veröffentlichung ohne jede Rücksichtnahme. Die meisten wählen einen Mittelweg und räumen Herstellern eine gewisse Zeit ein, um den Fehler zu beseitigen. Denn wird eine Sicherheitslücke bekannt, bevor sie geschlossen ist, bietet das Angreifern die Chance, die Informationen zu verwenden, um den Nutzern der jeweiligen Software zu schaden.

Anzeige

Das gilt auch für Google, dessen Sicherheitsforscher immer wieder sogenannte Zero-Day-Sicherheitslücken in der Software von anderen Unternehmen entdecken, also Sicherheitslücken, die der Öffentlichkeit bis dahin unbekannt sind. In diesen Fällen informieren sie den jeweiligen Hersteller. Dabei gab Google Drittherstellern bislang 60 Tage Zeit, die Sicherheitslücke zu schließen oder zumindest Schutzmaßnahmen zu empfehlen. Brauchte ein Hersteller länger, riet Google Sicherheitsforschern bisher, die Lücken trotzdem zu veröffentlichen.

Werde eine Sicherheitslücke aktiv ausgenutzt, seien 60 Tage aber zu lang, schreiben Googles Sicherheitsforscher Chris Evans und Drew Hintz in einem Blogeintrag. Das gelte ganz besonders dann, wenn es nur gezielte Angriffe auf bestimmte Nutzergruppen gebe, politische Aktivisten beispielsweise, deren Sicherheit im realen Leben gefährdet ist, sollten ihre Systeme kompromittiert werden.

Daher gibt Google für Zero-Day-Lücken, die bereits aktiv ausgenutzt werden, eine neue Richtlinie aus: Hersteller haben künftig nur noch sieben Tage Zeit, bis solche Sicherheitslücken veröffentlicht werden, ganz gleich ob eine Korrektur oder ein Workaround vorliegt. An jedem Tag, an dem eine aktiv ausgenutzte Sicherheitslücke unveröffentlicht und ungepacht bleibe, würden mehr Computer kompromittiert, argumentiert Google.

Sieben Tage sind sehr wenig

Evans und Hintz räumen ein, dass die Zeitspanne von sieben Tagen für manche Hersteller nicht ausreichend ist, um ihre Produkte zu aktualisieren. Denn es ist nicht damit getan, den jeweiligen Fehler zu korrigieren, die geänderte Software muss anschließend auch getestet werden. Nach Ansicht von Evans und Hintz sollten von sieben Tage aber dafür ausreichen, dass Hersteller ihren eigenen Kunden erklären, wie sie sich gegen entsprechende Angriffe schützen können, beispielsweise, indem sie bestimmte Dienste deaktivieren.

Nach Ablauf der Sieben-Tage-Frist will Google Sicherheitsforscher dabei unterstützen, Details zu den gefundenen Sicherheitslücken zu veröffentlichen, anhand derer sich Nutzer schützen können. Die Regel soll ausdrücklich auch für Sicherheitslücken gelten, die in Googles Software gefunden werden.

Implizite Kritik an Microsoft und Oracle

Googles neue Richtlinie ist auch eine implizite Kritik an Microsoft und Oracle sowie ein Angriff auf deren Sicherheitspolitik: Microsoft veröffentlicht in aller Regel nur einmal im Monat Sicherheitsupdates für seine Produkte. Lediglich bei öffentlich bekanntgewordenen Sicherheitslücken, die aktiv ausgenutzt wurden, hat Microsoft in der jüngeren Vergangenheit mit sogenannten Hot-Fixes reagiert.

Von den rund 57 im Februar 2013 von Microsoft geschlossenen Sicherheitslücken wurden 32 von Google direkt an Microsoft gemeldet. Immerhin zwei der beim letzten Microsoft-Patchday im Mai 2013 geschlossenen Sicherheitslücken kamen von Google und erst vor zwei Wochen veröffentlichte Googles Sicherheitsforscher Tavis Ormandy eine Zero-Day-Lücke in Windows 7 und 8, noch bevor Microsoft sie geschlossen hatte. Er kommentierte dies mit den Worten: "Ich habe nicht viel freie Zeit, um mich mit dummem Microsoft-Code zu beschäftigen".

Oracle veröffentlicht Sicherheitsupdates in aller Regel sogar nur einmal im Quartal.

Mit einem Patchrhythmus von einem Monat bzw. drei Monaten dürften Microsoft und Oracle die von Google nun auf sieben Tage verkürzte Frist in vielen Fällen nicht einhalten können und müssen damit rechnen, dass von Google entdeckte Sicherheitslücken künftig bekanntwerden, bevor sie dafür einen Patch veröffentlicht haben. Das dürfte so manchen Anbieter schlecht aussehen lassen.


eye home zur Startseite
WilliTheSmith 01. Jun 2013

Schreib dir ein kleines Skript und führe es täglich mittels eines Cronjobs aus, fertig...

Nephtys 30. Mai 2013

Ja, aber bei den Script-Kiddies ohne wirkliches Wissen oder Kontakte nicht. Und die sind...

Nephtys 30. Mai 2013

das AOSP bringt dann relativ schnell eine neue Version raus, außerdem ändern sich eh die...

__destruct() 30. Mai 2013

Da fällt mir ein: Ich habe meinen Desktop-PC jetzt bestimmt schon wieder ein dreiviertel...

hjp 30. Mai 2013

"sogenannte Zero-Day-Sicherheitslücken in der Software von anderen Unternehmen entdecken...



Anzeige

Stellenmarkt
  1. censhare AG, München, Freiburg im Breisgau
  2. Detecon International GmbH, Köln
  3. Robert Bosch Power Tools GmbH, Leinfelden-Echterdingen
  4. Geberit Verwaltungs GmbH, Pfullendorf


Anzeige
Hardware-Angebote
  1. 115,00€ - Bestpreis!
  2. 619,00€ + 3,99€ Versand (Vergleichspreis ab 664€)
  3. beim Kauf einer Geforce GTX 1070/1080

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Megaupload

    Dotcom droht bei Auslieferung volle Anklage in den USA

  2. PC-Markt

    Unternehmen geben deutschen PC-Käufen einen Schub

  3. Ungepatchte Sicherheitslücke

    Google legt sich erneut mit Microsoft an

  4. Torus

    CoreOS gibt weitere Eigenentwicklung auf

  5. Hololens

    Verbesserte AR-Brille soll nicht vor 2019 kommen

  6. Halo Wars 2 im Test

    Echtzeit-Strategie für Supersoldaten

  7. Autonome Systeme

    Microsoft stellt virtuelle Testplattform für Drohnen vor

  8. Limux

    Die tragische Geschichte eines Leuchtturm-Projekts

  9. Betriebssysteme

    Linux 4.10 beschleunigt und verbessert

  10. Supercomputer

    Der erste Exaflops-Rechner wird in China gebaut



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Merkels NSA-Vernehmung: Die unerträgliche Uninformiertheit der Kanzlerin
Merkels NSA-Vernehmung
Die unerträgliche Uninformiertheit der Kanzlerin
  1. US-Präsident Zuck it, Trump!
  2. Begnadigung Danke, Chelsea Manning!
  3. Glasfaser Nun hängt die Kabel doch endlich auf!

Apple: Planet der affigen Fernsehshows
Apple
Planet der affigen Fernsehshows
  1. Streaming Vodafone GigaTV ermöglicht Fernsehen unterwegs
  2. Kabelnetz Unitymedia hat neue Preise für Internetzugänge
  3. Deutsche TV-Plattform über VR "Ein langer Weg vom Wow-Effekt zum dauerhaften Format"

Mobile-Games-Auslese: Schiffbruch auf der Milchstraße für mobile Spieler
Mobile-Games-Auslese
Schiffbruch auf der Milchstraße für mobile Spieler

  1. Unart

    FranzBekker | 06:24

  2. Das was hier voellig irre ist ...

    flauschi123 | 06:12

  3. Re: Verzicht

    ThaKilla | 05:53

  4. Re: Es führt kein Weg an Windows vorbei

    FranzBekker | 05:50

  5. Re: Und was berechnen die wirklich?

    Komischer_Phreak | 05:41


  1. 18:33

  2. 17:38

  3. 16:38

  4. 16:27

  5. 15:23

  6. 14:00

  7. 13:12

  8. 12:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel