Nachdem Google dieses Jahr mehrfach Zero-Day-Lücken in Mac OS X und Windows offenbart hatte, hat das Unternehmen seine Richtlinien zur Offenlegung von Sicherheitslücken etwas abgemildert. Hersteller hatten bislang exakt 90 Tage Zeit, eine von Googles Sicherheitsteam Project Zero gemeldete Schwachstelle zu schließen. So kam es dazu, dass, obwohl Google von Microsofts Plänen wusste, die entdeckte Lücke am nächsten Patchday zu schließen, Google zwei Tage vor dem Patchday diese Lücke veröffentlichte.

Betroffenen Herstellern werden zukünftig weitere 14 Tage Schonfrist eingeräumt, wenn diese ankündigen, einen Patch bis zum Ablauf dieser Zeit zu veröffentlichen. Diese Frist wird bis zum nächsten Werktag ausgedehnt, wenn das Ablaufen der Frist auf einen Feiertag oder auf ein Wochenende fällt. Google will des weiteren sicherstellen, dass Lücken eine CVE-Nummer zugewiesen wird, bevor Details über sie veröffentlicht werden. Die CVE-Nummern sind einzigartige Bezeichner für Sicherheitslücken.

Die oben genannten Bedingungen gelten für den jeweiligen Hersteller, wann immer ein Google-Mitarbeiter eine Sicherheitslücke entdeckt. Nach eigenen Angaben macht dabei das Unternehmen auch im eigenen Haus keine Ausnahme. Auch in Android und Google Chrome soll Project Zero Lücken entdeckt haben, für welche dieselben Konditionen gelten.

(nd, hannover)

(siehe auch heise-security:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE