Ein neues Verfahren von Googles Team "Project
Zero" soll Software-Anbieter zur schnelleren Behebung von
Sicherheitslücken bewegen und Nutzern mehr Zeit zur Installation
von Sicherheitsupdates geben. "Project Zero" sucht Schwachstellen
und Fehler in Googles eigener Software und derer anderer Unternehmen.
Werden Lücken gefunden, so werden die Autoren informiert und
haben 90 Tage Zeit zur Behebung der Fehler. Die Öffentlichkeit
wurde bisher nach 90 Tagen informiert - bei aktiv ausgenutzten Lücken
bereits nach sieben Tagen.
Das neue Verfahren soll Autoren vorerst
weiterhin 90 Tage zur Behebung von Sicherheitslücken gewähren.
Bei Veröffentlichung eines Patches wartet Google nun jedoch
30 Tage ab Verfügbarkeit, bevor die Sicherheitslücke öffentlich
bekanntgegeben wird. So kann es bis zu 120 Tage dauern, bis eine
Lücke öffentlich bekannt wird.
14 zusätzliche Tage können Software-Anbieter bei "Project
Zero" beantragen - das Sicherheitsteam veröffentlicht
Details aber auch dann nach spätestens 120 Tagen. Im Falle
aktiv ausgenutzter Lücken werden Anbietern nur sieben Tage
gewährt: Software-Autoren können hier drei Tage Verlängerung
beantragen - wird dann kein Fix veröffentlicht, so geht Google
direkt an die Öffentlichtkeit. Wird vorher ein Fix bereitgestellt,
wartet Google weitere 30 Tage.
"Project Zero" möchte die Fristen in Zukunft schrittweise
weiter reduzieren, um Software-Anbieter zu schnelleren Sicherheitsupdates
zu bewegen. Zunächst sollen jedoch die Auswirkungen der Neuerung
abgewartet werden.
(jb, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|