Project Zero: Google legt Sicherheitslücken erst nach 30 Tagen offen

Google verfügt schon seit einiger Zeit über ein eigenes Team, das Si­cher­heitslück­en in zahlreichen Programmen und Betriebssystemen aufspürt und an die Entwickler der jeweiligen Software meldet. Bislang wurden die Details zu einer Lücke direkt nach der Behebung veröffentlicht. Das führt zu dem Problem, dass die Entwickler eines Programms oder Betriebssystems keine Chance haben, die gefundene Schwachstelle zu beseitigen, indem ein Patch ausgeliefert wird. In vielen Fällen dauert es ein paar Tage oder Wochen, bis das neueste Update einen Groß­teil der Nutzer erreicht hat. Die meisten Systeme dürften also noch verwundbar sein, wenn die technischen Informationen zu einer Sicherheitslücke an die Öffentlichkeit gelangen. Das gibt Angreifern die Möglichkeit, die entsprechende Schwachstelle aktiv auszunutzen. Google gibt den Entwicklern eine Frist, bevor Details zu einer Lücke offengelegt werden

Deshalb hat Google die Richtlinien für Project Zero angepasst. Laut XDA-Developers werden die technischen Details zu einer Si­cher­heits­lü­cke ab sofort frühestens 30 Tage nach der Beseitigung des Problems bereitgestellt. Das gibt den Entwicklern mehr Zeit, die not­wen­di­gen Sicherheits-Patches zu verteilen. Wie es auch vorher schon der Fall war, kann das Project Zero-Team den Entwicklern eine zu­sätz­li­che Frist von 14 Tagen gewähren.

Behebungs-Frist beträgt weiterhin 90 Tage

Sobald die Sicherheits-Forscher vom Project Zero eine Schwachstelle entdecken, erhält der Autor der betroffenen Software 90 Tage lang Zeit, die Lücke zu stopfen. Eine Ausnahme stellen Schwachstellen, die schon aktiv aus­ge­nutzt werden, dar. Hier bekommen die Entwickler nur sieben Tage lang Zeit. An diesen Fristen hat sich nichts verändert. Wenn das Problem nach Ablauf der 90 bzw. 7 Tage nicht behoben wurde, werden die Details zu der Schwachstelle veröffentlicht. Wurde der Fehler hingegen beseitigt, so werden die Informationen erst nach weiteren 30 Tagen hochgeladen.

Siehe auch: