Original-URL des Artikels: https://www.golem.de/news/sicherheitsluecken-google-gibt-herstellern-nur-noch-7-tage-1305-99503.html    Veröffentlicht: 30.05.2013 08:44    Kurz-URL: https://glm.io/99503

Sicherheitslücken

Google gibt Herstellern nur noch 7 Tage

Googles Sicherheitsforscher sollen Sicherheitslücken in Software anderer Hersteller künftig schon nach sieben Tagen veröffentlichen, wenn diese aktiv von Angreifern ausgenutzt werden - auch dann, wenn der Hersteller sie noch nicht geschlossen hat. Das ist auch ein Angriff auf die Sicherheitspolitik von Microsoft und Oracle.

Wann soll jemand, der eine Sicherheitslücke in einer Software eines anderen entdeckt, die Öffentlichkeit darüber informieren? Das ist eine Frage ohne richtige Antwort: Die einen argumentieren, Sicherheitslücken dürften nicht öffentlich gemacht werden, bevor der jeweilige Hersteller den Fehler korrigiert hat, die anderen fordern eine sofortige Veröffentlichung ohne jede Rücksichtnahme. Die meisten wählen einen Mittelweg und räumen Herstellern eine gewisse Zeit ein, um den Fehler zu beseitigen. Denn wird eine Sicherheitslücke bekannt, bevor sie geschlossen ist, bietet das Angreifern die Chance, die Informationen zu verwenden, um den Nutzern der jeweiligen Software zu schaden.

Das gilt auch für Google, dessen Sicherheitsforscher immer wieder sogenannte Zero-Day-Sicherheitslücken in der Software von anderen Unternehmen entdecken, also Sicherheitslücken, die der Öffentlichkeit bis dahin unbekannt sind. In diesen Fällen informieren sie den jeweiligen Hersteller. Dabei gab Google Drittherstellern bislang 60 Tage Zeit, die Sicherheitslücke zu schließen oder zumindest Schutzmaßnahmen zu empfehlen. Brauchte ein Hersteller länger, riet Google Sicherheitsforschern bisher, die Lücken trotzdem zu veröffentlichen.

Werde eine Sicherheitslücke aktiv ausgenutzt, seien 60 Tage aber zu lang, schreiben Googles Sicherheitsforscher Chris Evans und Drew Hintz in einem Blogeintrag. Das gelte ganz besonders dann, wenn es nur gezielte Angriffe auf bestimmte Nutzergruppen gebe, politische Aktivisten beispielsweise, deren Sicherheit im realen Leben gefährdet ist, sollten ihre Systeme kompromittiert werden.

Daher gibt Google für Zero-Day-Lücken, die bereits aktiv ausgenutzt werden, eine neue Richtlinie aus: Hersteller haben künftig nur noch sieben Tage Zeit, bis solche Sicherheitslücken veröffentlicht werden, ganz gleich ob eine Korrektur oder ein Workaround vorliegt. An jedem Tag, an dem eine aktiv ausgenutzte Sicherheitslücke unveröffentlicht und ungepacht bleibe, würden mehr Computer kompromittiert, argumentiert Google.

Sieben Tage sind sehr wenig

Evans und Hintz räumen ein, dass die Zeitspanne von sieben Tagen für manche Hersteller nicht ausreichend ist, um ihre Produkte zu aktualisieren. Denn es ist nicht damit getan, den jeweiligen Fehler zu korrigieren, die geänderte Software muss anschließend auch getestet werden. Nach Ansicht von Evans und Hintz sollten von sieben Tage aber dafür ausreichen, dass Hersteller ihren eigenen Kunden erklären, wie sie sich gegen entsprechende Angriffe schützen können, beispielsweise, indem sie bestimmte Dienste deaktivieren.

Nach Ablauf der Sieben-Tage-Frist will Google Sicherheitsforscher dabei unterstützen, Details zu den gefundenen Sicherheitslücken zu veröffentlichen, anhand derer sich Nutzer schützen können. Die Regel soll ausdrücklich auch für Sicherheitslücken gelten, die in Googles Software gefunden werden.

Implizite Kritik an Microsoft und Oracle

Googles neue Richtlinie ist auch eine implizite Kritik an Microsoft und Oracle sowie ein Angriff auf deren Sicherheitspolitik: Microsoft veröffentlicht in aller Regel nur einmal im Monat Sicherheitsupdates für seine Produkte. Lediglich bei öffentlich bekanntgewordenen Sicherheitslücken, die aktiv ausgenutzt wurden, hat Microsoft in der jüngeren Vergangenheit mit sogenannten Hot-Fixes reagiert.

Von den rund 57 im Februar 2013 von Microsoft geschlossenen Sicherheitslücken wurden 32 von Google direkt an Microsoft gemeldet. Immerhin zwei der beim letzten Microsoft-Patchday im Mai 2013 geschlossenen Sicherheitslücken kamen von Google und erst vor zwei Wochen veröffentlichte Googles Sicherheitsforscher Tavis Ormandy eine Zero-Day-Lücke in Windows 7 und 8, noch bevor Microsoft sie geschlossen hatte. Er kommentierte dies mit den Worten: "Ich habe nicht viel freie Zeit, um mich mit dummem Microsoft-Code zu beschäftigen".

Oracle veröffentlicht Sicherheitsupdates in aller Regel sogar nur einmal im Quartal.

Mit einem Patchrhythmus von einem Monat bzw. drei Monaten dürften Microsoft und Oracle die von Google nun auf sieben Tage verkürzte Frist in vielen Fällen nicht einhalten können und müssen damit rechnen, dass von Google entdeckte Sicherheitslücken künftig bekanntwerden, bevor sie dafür einen Patch veröffentlicht haben. Das dürfte so manchen Anbieter schlecht aussehen lassen.  (ji)


Verwandte Artikel:
LLVM 6.0: Clang bekommt Maßnahme gegen Spectre-Angriff   
(09.03.2018, https://glm.io/133241 )
Security: Kopierschutz von Microsofts UWP ist nicht mehr unknackbar   
(16.02.2018, https://glm.io/132816 )
Datenbank: Microsofts privater Bugtracker ist 2013 gehackt worden   
(17.10.2017, https://glm.io/130672 )
Antivirensoftware: Malwarebytes erklärt Probleme mit IP-Blocks und RAM-Last   
(02.02.2018, https://glm.io/132562 )
MacOS: Apple patcht MacOS Sierra und El Capitan gegen Meltdown   
(24.01.2018, https://glm.io/132342 )

© 1997–2021 Golem.de, https://www.golem.de/