Ein neues Verfahren von Googles Team "Project Zero" soll Software-Anbieter zur schnelleren Behebung von Sicherheitslücken bewegen und Nutzern mehr Zeit zur Installation von Sicherheitsupdates geben. "Project Zero" sucht Schwachstellen und Fehler in Googles eigener Software und derer anderer Unternehmen. Werden Lücken gefunden, so werden die Autoren informiert und haben 90 Tage Zeit zur Behebung der Fehler. Die Öffentlichkeit wurde bisher nach 90 Tagen informiert - bei aktiv ausgenutzten Lücken bereits nach sieben Tagen.

Das neue Verfahren soll Autoren vorerst weiterhin 90 Tage zur Behebung von Sicherheitslücken gewähren. Bei Veröffentlichung eines Patches wartet Google nun jedoch 30 Tage ab Verfügbarkeit, bevor die Sicherheitslücke öffentlich bekanntgegeben wird. So kann es bis zu 120 Tage dauern, bis eine Lücke öffentlich bekannt wird.

14 zusätzliche Tage können Software-Anbieter bei "Project Zero" beantragen - das Sicherheitsteam veröffentlicht Details aber auch dann nach spätestens 120 Tagen. Im Falle aktiv ausgenutzter Lücken werden Anbietern nur sieben Tage gewährt: Software-Autoren können hier drei Tage Verlängerung beantragen - wird dann kein Fix veröffentlicht, so geht Google direkt an die Öffentlichtkeit. Wird vorher ein Fix bereitgestellt, wartet Google weitere 30 Tage.

"Project Zero" möchte die Fristen in Zukunft schrittweise weiter reduzieren, um Software-Anbieter zu schnelleren Sicherheitsupdates zu bewegen. Zunächst sollen jedoch die Auswirkungen der Neuerung abgewartet werden.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE