Abo
  • Services:

Sicherheitslücken: Google gibt Herstellern nur noch 7 Tage

Googles Sicherheitsforscher sollen Sicherheitslücken in Software anderer Hersteller künftig schon nach sieben Tagen veröffentlichen, wenn diese aktiv von Angreifern ausgenutzt werden - auch dann, wenn der Hersteller sie noch nicht geschlossen hat. Das ist auch ein Angriff auf die Sicherheitspolitik von Microsoft und Oracle.

Artikel veröffentlicht am ,
Google-Chef Larry Page
Google-Chef Larry Page (Bild: Justin Sullivan / Getty Images)

Wann soll jemand, der eine Sicherheitslücke in einer Software eines anderen entdeckt, die Öffentlichkeit darüber informieren? Das ist eine Frage ohne richtige Antwort: Die einen argumentieren, Sicherheitslücken dürften nicht öffentlich gemacht werden, bevor der jeweilige Hersteller den Fehler korrigiert hat, die anderen fordern eine sofortige Veröffentlichung ohne jede Rücksichtnahme. Die meisten wählen einen Mittelweg und räumen Herstellern eine gewisse Zeit ein, um den Fehler zu beseitigen. Denn wird eine Sicherheitslücke bekannt, bevor sie geschlossen ist, bietet das Angreifern die Chance, die Informationen zu verwenden, um den Nutzern der jeweiligen Software zu schaden.

Stellenmarkt
  1. NORMA Germany GmbH, Maintal
  2. Bosch Gruppe, Reutlingen

Das gilt auch für Google, dessen Sicherheitsforscher immer wieder sogenannte Zero-Day-Sicherheitslücken in der Software von anderen Unternehmen entdecken, also Sicherheitslücken, die der Öffentlichkeit bis dahin unbekannt sind. In diesen Fällen informieren sie den jeweiligen Hersteller. Dabei gab Google Drittherstellern bislang 60 Tage Zeit, die Sicherheitslücke zu schließen oder zumindest Schutzmaßnahmen zu empfehlen. Brauchte ein Hersteller länger, riet Google Sicherheitsforschern bisher, die Lücken trotzdem zu veröffentlichen.

Werde eine Sicherheitslücke aktiv ausgenutzt, seien 60 Tage aber zu lang, schreiben Googles Sicherheitsforscher Chris Evans und Drew Hintz in einem Blogeintrag. Das gelte ganz besonders dann, wenn es nur gezielte Angriffe auf bestimmte Nutzergruppen gebe, politische Aktivisten beispielsweise, deren Sicherheit im realen Leben gefährdet ist, sollten ihre Systeme kompromittiert werden.

Daher gibt Google für Zero-Day-Lücken, die bereits aktiv ausgenutzt werden, eine neue Richtlinie aus: Hersteller haben künftig nur noch sieben Tage Zeit, bis solche Sicherheitslücken veröffentlicht werden, ganz gleich ob eine Korrektur oder ein Workaround vorliegt. An jedem Tag, an dem eine aktiv ausgenutzte Sicherheitslücke unveröffentlicht und ungepacht bleibe, würden mehr Computer kompromittiert, argumentiert Google.

Sieben Tage sind sehr wenig

Evans und Hintz räumen ein, dass die Zeitspanne von sieben Tagen für manche Hersteller nicht ausreichend ist, um ihre Produkte zu aktualisieren. Denn es ist nicht damit getan, den jeweiligen Fehler zu korrigieren, die geänderte Software muss anschließend auch getestet werden. Nach Ansicht von Evans und Hintz sollten von sieben Tage aber dafür ausreichen, dass Hersteller ihren eigenen Kunden erklären, wie sie sich gegen entsprechende Angriffe schützen können, beispielsweise, indem sie bestimmte Dienste deaktivieren.

Nach Ablauf der Sieben-Tage-Frist will Google Sicherheitsforscher dabei unterstützen, Details zu den gefundenen Sicherheitslücken zu veröffentlichen, anhand derer sich Nutzer schützen können. Die Regel soll ausdrücklich auch für Sicherheitslücken gelten, die in Googles Software gefunden werden.

Implizite Kritik an Microsoft und Oracle

Googles neue Richtlinie ist auch eine implizite Kritik an Microsoft und Oracle sowie ein Angriff auf deren Sicherheitspolitik: Microsoft veröffentlicht in aller Regel nur einmal im Monat Sicherheitsupdates für seine Produkte. Lediglich bei öffentlich bekanntgewordenen Sicherheitslücken, die aktiv ausgenutzt wurden, hat Microsoft in der jüngeren Vergangenheit mit sogenannten Hot-Fixes reagiert.

Von den rund 57 im Februar 2013 von Microsoft geschlossenen Sicherheitslücken wurden 32 von Google direkt an Microsoft gemeldet. Immerhin zwei der beim letzten Microsoft-Patchday im Mai 2013 geschlossenen Sicherheitslücken kamen von Google und erst vor zwei Wochen veröffentlichte Googles Sicherheitsforscher Tavis Ormandy eine Zero-Day-Lücke in Windows 7 und 8, noch bevor Microsoft sie geschlossen hatte. Er kommentierte dies mit den Worten: "Ich habe nicht viel freie Zeit, um mich mit dummem Microsoft-Code zu beschäftigen".

Oracle veröffentlicht Sicherheitsupdates in aller Regel sogar nur einmal im Quartal.

Mit einem Patchrhythmus von einem Monat bzw. drei Monaten dürften Microsoft und Oracle die von Google nun auf sieben Tage verkürzte Frist in vielen Fällen nicht einhalten können und müssen damit rechnen, dass von Google entdeckte Sicherheitslücken künftig bekanntwerden, bevor sie dafür einen Patch veröffentlicht haben. Das dürfte so manchen Anbieter schlecht aussehen lassen.



Anzeige
Hardware-Angebote
  1. 915€ + Versand
  2. ab 119,98€ (Release 04.10.)

WilliTheSmith 01. Jun 2013

Schreib dir ein kleines Skript und führe es täglich mittels eines Cronjobs aus, fertig...

Nephtys 30. Mai 2013

Ja, aber bei den Script-Kiddies ohne wirkliches Wissen oder Kontakte nicht. Und die sind...

Nephtys 30. Mai 2013

das AOSP bringt dann relativ schnell eine neue Version raus, außerdem ändern sich eh die...

__destruct() 30. Mai 2013

Da fällt mir ein: Ich habe meinen Desktop-PC jetzt bestimmt schon wieder ein dreiviertel...

hjp 30. Mai 2013

"sogenannte Zero-Day-Sicherheitslücken in der Software von anderen Unternehmen entdecken...


Folgen Sie uns
       


iOS 12 angesehen

Das neue iOS 12 bietet Nutzern die Möglichkeit, die Bildschirmzeit besser kontrollieren und einteilen zu können. Auch Siri könnte durch die Kurzbefehle interessanter als bisher werden.

iOS 12 angesehen Video aufrufen
Yara Birkeland: Autonome Schiffe sind eine neue Art von Transportsystem
Yara Birkeland
Autonome Schiffe sind eine neue Art von Transportsystem

Die Yara Birkeland wird das erste elektrisch angetriebene Schiff, das autonom fahren soll. Das ist aber nicht das einzige Ungewöhnliche daran. Diese Schiffe seien ein ganz neues Transportmittel, das nicht nur von den üblichen Akteuren eingesetzt werde, sagt ein Experte.
Ein Interview von Werner Pluta

  1. Power Pac Strom aus dem Container für Ozeanriesen
  2. Yara Birkeland Norwegische Werft baut den ersten autonomen E-Frachter
  3. SAVe Energy Rolls-Royce bringt Akku zur Elektrifizierung von Schiffen

Zahlen mit Smartphones im Alltagstest: Sparkassenkunden müssen nicht auf Google Pay neidisch sein
Zahlen mit Smartphones im Alltagstest
Sparkassenkunden müssen nicht auf Google Pay neidisch sein

In Deutschland gibt es mittlerweile mehrere Möglichkeiten, drahtlos mit dem Smartphone zu bezahlen. Wir haben Google Pay mit der Sparkassen-App Mobiles Bezahlen verglichen und festgestellt: In der Handhabung gleichen sich die Apps zwar, doch in den Details gibt es einige Unterschiede.
Ein Test von Tobias Költzsch

  1. Smartphone Auch Volksbanken führen mobiles Bezahlen ein
  2. Bezahldienst ausprobiert Google Pay startet in Deutschland mit vier Finanzdiensten

Single Sign-on Made in Germany: Verimi, NetID oder ID4me?
Single Sign-on Made in Germany
Verimi, NetID oder ID4me?

Welche der deutschen Single-Sign-on-Lösungen ist am vielversprechendsten? Golem.de erläutert die Unterschiede zwischen Verimi, NetID und ID4me.
Eine Analyse von Monika Ermert

  1. Verimi Deutsche Konzerne starten Single Sign-on

    •  /