Sicherheitslücken: Google gibt Herstellern nur noch 7 Tage

Googles Sicherheitsforscher sollen Sicherheitslücken in Software anderer Hersteller künftig schon nach sieben Tagen veröffentlichen, wenn diese aktiv von Angreifern ausgenutzt werden - auch dann, wenn der Hersteller sie noch nicht geschlossen hat. Das ist auch ein Angriff auf die Sicherheitspolitik von Microsoft und Oracle.

Artikel veröffentlicht am ,
Google-Chef Larry Page
Google-Chef Larry Page (Bild: Justin Sullivan / Getty Images)

Wann soll jemand, der eine Sicherheitslücke in einer Software eines anderen entdeckt, die Öffentlichkeit darüber informieren? Das ist eine Frage ohne richtige Antwort: Die einen argumentieren, Sicherheitslücken dürften nicht öffentlich gemacht werden, bevor der jeweilige Hersteller den Fehler korrigiert hat, die anderen fordern eine sofortige Veröffentlichung ohne jede Rücksichtnahme. Die meisten wählen einen Mittelweg und räumen Herstellern eine gewisse Zeit ein, um den Fehler zu beseitigen. Denn wird eine Sicherheitslücke bekannt, bevor sie geschlossen ist, bietet das Angreifern die Chance, die Informationen zu verwenden, um den Nutzern der jeweiligen Software zu schaden.

Stellenmarkt
  1. Softwareentwickler (m/w/d) Full Stack
    Captana GmbH, Ettenheim
  2. Mitarbeiter für den IT-Support/DB-Analyst (m/w/d)
    DEUTSCHER GOLF VERBAND e.V., Wiesbaden
Detailsuche

Das gilt auch für Google, dessen Sicherheitsforscher immer wieder sogenannte Zero-Day-Sicherheitslücken in der Software von anderen Unternehmen entdecken, also Sicherheitslücken, die der Öffentlichkeit bis dahin unbekannt sind. In diesen Fällen informieren sie den jeweiligen Hersteller. Dabei gab Google Drittherstellern bislang 60 Tage Zeit, die Sicherheitslücke zu schließen oder zumindest Schutzmaßnahmen zu empfehlen. Brauchte ein Hersteller länger, riet Google Sicherheitsforschern bisher, die Lücken trotzdem zu veröffentlichen.

Werde eine Sicherheitslücke aktiv ausgenutzt, seien 60 Tage aber zu lang, schreiben Googles Sicherheitsforscher Chris Evans und Drew Hintz in einem Blogeintrag. Das gelte ganz besonders dann, wenn es nur gezielte Angriffe auf bestimmte Nutzergruppen gebe, politische Aktivisten beispielsweise, deren Sicherheit im realen Leben gefährdet ist, sollten ihre Systeme kompromittiert werden.

Daher gibt Google für Zero-Day-Lücken, die bereits aktiv ausgenutzt werden, eine neue Richtlinie aus: Hersteller haben künftig nur noch sieben Tage Zeit, bis solche Sicherheitslücken veröffentlicht werden, ganz gleich ob eine Korrektur oder ein Workaround vorliegt. An jedem Tag, an dem eine aktiv ausgenutzte Sicherheitslücke unveröffentlicht und ungepacht bleibe, würden mehr Computer kompromittiert, argumentiert Google.

Sieben Tage sind sehr wenig

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Evans und Hintz räumen ein, dass die Zeitspanne von sieben Tagen für manche Hersteller nicht ausreichend ist, um ihre Produkte zu aktualisieren. Denn es ist nicht damit getan, den jeweiligen Fehler zu korrigieren, die geänderte Software muss anschließend auch getestet werden. Nach Ansicht von Evans und Hintz sollten von sieben Tage aber dafür ausreichen, dass Hersteller ihren eigenen Kunden erklären, wie sie sich gegen entsprechende Angriffe schützen können, beispielsweise, indem sie bestimmte Dienste deaktivieren.

Nach Ablauf der Sieben-Tage-Frist will Google Sicherheitsforscher dabei unterstützen, Details zu den gefundenen Sicherheitslücken zu veröffentlichen, anhand derer sich Nutzer schützen können. Die Regel soll ausdrücklich auch für Sicherheitslücken gelten, die in Googles Software gefunden werden.

Implizite Kritik an Microsoft und Oracle

Googles neue Richtlinie ist auch eine implizite Kritik an Microsoft und Oracle sowie ein Angriff auf deren Sicherheitspolitik: Microsoft veröffentlicht in aller Regel nur einmal im Monat Sicherheitsupdates für seine Produkte. Lediglich bei öffentlich bekanntgewordenen Sicherheitslücken, die aktiv ausgenutzt wurden, hat Microsoft in der jüngeren Vergangenheit mit sogenannten Hot-Fixes reagiert.

Von den rund 57 im Februar 2013 von Microsoft geschlossenen Sicherheitslücken wurden 32 von Google direkt an Microsoft gemeldet. Immerhin zwei der beim letzten Microsoft-Patchday im Mai 2013 geschlossenen Sicherheitslücken kamen von Google und erst vor zwei Wochen veröffentlichte Googles Sicherheitsforscher Tavis Ormandy eine Zero-Day-Lücke in Windows 7 und 8, noch bevor Microsoft sie geschlossen hatte. Er kommentierte dies mit den Worten: "Ich habe nicht viel freie Zeit, um mich mit dummem Microsoft-Code zu beschäftigen".

Oracle veröffentlicht Sicherheitsupdates in aller Regel sogar nur einmal im Quartal.

Mit einem Patchrhythmus von einem Monat bzw. drei Monaten dürften Microsoft und Oracle die von Google nun auf sieben Tage verkürzte Frist in vielen Fällen nicht einhalten können und müssen damit rechnen, dass von Google entdeckte Sicherheitslücken künftig bekanntwerden, bevor sie dafür einen Patch veröffentlicht haben. Das dürfte so manchen Anbieter schlecht aussehen lassen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Halbleiterfertigung
Aus 10 nm wird "Intel 7"

Intel orientiert sich vorerst an TSMC, will aber dank RibbonFets und PowerVias ab 2025 führend bei der Halbleiterfertigung sein.
Ein Bericht von Marc Sauter

Halbleiterfertigung: Aus 10 nm wird Intel 7
Artikel
  1. Elektroauto: Tesla überrascht mit großem Gewinnsprung
    Elektroauto
    Tesla überrascht mit großem Gewinnsprung

    Tesla hat im 2. Quartal 2021 sowohl die Umsatz- als auch die Gewinnerwartungen deutlich übertrumpfen können.

  2. Form Energy: Eisen-Luft-Akku soll Energiespeicherprobleme lösen
    Form Energy
    Eisen-Luft-Akku soll Energiespeicherprobleme lösen

    Mit Geld von Bill Gates und Jeff Bezos sollen große, billige Akkus Strom für mehrere Tage speichern. Kann die Technik liefern, was sie verspricht?
    Eine Analyse von Frank Wunderlich-Pfeiffer

  3. Brickit ausprobiert: Lego scannen einfach gemacht?
    Brickit ausprobiert
    Lego scannen einfach gemacht?

    Mit Kamera und Bilderkennung kann Brickit Lego digital einscannen. Das ist es aber nicht, was die App so praktisch macht.
    Ein Hands-on von Oliver Nickel

WilliTheSmith 01. Jun 2013

Schreib dir ein kleines Skript und führe es täglich mittels eines Cronjobs aus, fertig...

Nephtys 30. Mai 2013

Ja, aber bei den Script-Kiddies ohne wirkliches Wissen oder Kontakte nicht. Und die sind...

Nephtys 30. Mai 2013

das AOSP bringt dann relativ schnell eine neue Version raus, außerdem ändern sich eh die...

__destruct() 30. Mai 2013

Da fällt mir ein: Ich habe meinen Desktop-PC jetzt bestimmt schon wieder ein dreiviertel...

hjp 30. Mai 2013

"sogenannte Zero-Day-Sicherheitslücken in der Software von anderen Unternehmen entdecken...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Bosch Professional Amazon-Exklusives günstiger • Samsung G7 27" QLED Curved WQHD 240Hz 459€ • Kingston Fury 32GB Kit 3200MHz 149,90€ • 3 für 2 & Sony-TV-Aktion bei MM • New World vorbestellbar ab 39,99€ • Alternate (u. a. Deepcool RGB LED-Streifen 10,99€) • Apple Days [Werbung]
    •  /