Sicherheitsanalysten aus Googles Project-Zero-Team suchen aktiv nach Schwachstellen in Softwareprodukten verschiedener Hersteller – mit dem Ziel, sie früher als potenzielle Angreifer zu finden und zu beheben. Schwachstellen-Funde meldet das Team an die Entwickler der verwundbaren Software und setzt ihnen im Sinne einer verantwortungsvollen Offenlegung (Responsible Disclosure) eine bestimmte Frist zum Patchen. In der Vergangenheit erfolgte die Offenlegung der Schwachstellen durch Project Zero nach spätestens 90 Tagen – oder früher, sofern die Patches bereits vor Ablauf dieser Frist verfügbar waren. Im Rahmen einer überarbeiteten Offenlegungsrichtlinie (Disclosure Policy), die vorerst für ein Jahr gelten soll, hat Project Zero unter in diesem Punkt eine wichtige Änderung beschlossen: Für alle Schwachstellen, die nach dem 1. Januar 2020 gemeldet werden, gewährt das Analysten-Team nun eine fixe Offenlegungsfrist von 90 Tagen. Dies gilt unabhängig davon, wann (und ob) ein Patch bereitgestellt wird. Die 2015 eingeführte 14-tägige "Gnadenfrist" bleibt bestehen. Software-Entwickler können sie in Absprache mit dem Project Zero in Anspruch nehmen, sofern sie nach eigener Einschätzung zwar nicht innerhalb von 90, aber von 104 Tagen Patches bereitstellen können. Bessere Patches bereitstellen Der Ankündigung der neuen Disclosure Policy im Project-Zero-Blog ist zu entnehmen, dass das Team mit seiner Richtlinie in den letzten fünf Jahren als primäres Ziel die schnellere Entwicklung von Patches anstrebte. (Bild: googleprojectzero.blogspot.com/) Tim Willis von Project Zero beschreibt im Blogeintrag, dass sich das Projekt seit seinem Start in 2014 gut entwickelt und habe und von den meisten Softwareherstellern positiv gesehen werde. 2014 habe es in manchen Fällen noch bis zu sechs Monate gedauert, bis ein Update bereitstand. Inzwischen würden 97,7 Prozent aller gemeldeten kritischen Schwachstellen innerhalb der 90-tägigen Offenlegungsfrist durch die Hersteller behoben. Die Festlegung einer fixen Frist von 90 Tagen rückt nun neben der Schnelligkeit die Qualität der Patches stärker in den Fokus: Das Team will den Softwareherstellern mehr Zeit zum Entwickeln besserer Patches einräumen. Es soll vermieden werden, dass sich durch zu schnelle Bereitstellung von Patches neue Fehler einschleichen – oder dass die grundsätzlichen Probleme, die zur Schwachstelle führen, aufgrund von Zeitmangel gar nicht erst angegangen werden. Anwendern mehr Zeit geben Im Blog-Beitrag merkt Willis auch an, dass sich die Sicherheit der Endbenutzer nicht unmittelbar dadurch erhöhe, dass ein Fehler gefunden und durch den Hersteller per Patch behoben werde. Die Sicherheit verbessere sich erst, wenn der Endbenutzer sein Gerät oder System tatsächlich aktualisiere. Der fixe 90-Tage-Zeitraum lässt den Herstellern also auch mehr Zeit zur Bereitstellung von Patches und zum Veröffentlichen entsprechender Updatehinweise. Und gleichzeitig räumt er den Anwendern mehr Zeit zum Aktualisieren ein. Last but not least werden Anwender die Patches auch nur dann einspielen, wenn sie nicht mit Folgeproblemen aufgrund schlechter Qualität zu rechnen haben. (Günter Born) / (ovw) Zur Startseite
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
Sicherheitsanalysten aus Googles Project-Zero-Team suchen aktiv nach Schwachstellen in Softwareprodukten verschiedener Hersteller – mit dem Ziel, sie früher als potenzielle Angreifer zu finden und zu beheben. Schwachstellen-Funde meldet das Team an die Entwickler der verwundbaren Software und setzt ihnen im Sinne einer verantwortungsvollen Offenlegung (Responsible Disclosure) eine bestimmte Frist zum Patchen. In der Vergangenheit erfolgte die Offenlegung der Schwachstellen durch Project Zero nach spätestens 90 Tagen – oder früher, sofern die Patches bereits vor Ablauf dieser Frist verfügbar waren. Im Rahmen einer überarbeiteten Offenlegungsrichtlinie (Disclosure Policy), die vorerst für ein Jahr gelten soll, hat Project Zero unter in diesem Punkt eine wichtige Änderung beschlossen: Für alle Schwachstellen, die nach dem 1. Januar 2020 gemeldet werden, gewährt das Analysten-Team nun eine fixe Offenlegungsfrist von 90 Tagen. Dies gilt unabhängig davon, wann (und ob) ein Patch bereitgestellt wird. Die 2015 eingeführte 14-tägige "Gnadenfrist" bleibt bestehen. Software-Entwickler können sie in Absprache mit dem Project Zero in Anspruch nehmen, sofern sie nach eigener Einschätzung zwar nicht innerhalb von 90, aber von 104 Tagen Patches bereitstellen können. Bessere Patches bereitstellen Der Ankündigung der neuen Disclosure Policy im Project-Zero-Blog ist zu entnehmen, dass das Team mit seiner Richtlinie in den letzten fünf Jahren als primäres Ziel die schnellere Entwicklung von Patches anstrebte. (Bild: googleprojectzero.blogspot.com/) Tim Willis von Project Zero beschreibt im Blogeintrag, dass sich das Projekt seit seinem Start in 2014 gut entwickelt und habe und von den meisten Softwareherstellern positiv gesehen werde. 2014 habe es in manchen Fällen noch bis zu sechs Monate gedauert, bis ein Update bereitstand. Inzwischen würden 97,7 Prozent aller gemeldeten kritischen Schwachstellen innerhalb der 90-tägigen Offenlegungsfrist durch die Hersteller behoben. Die Festlegung einer fixen Frist von 90 Tagen rückt nun neben der Schnelligkeit die Qualität der Patches stärker in den Fokus: Das Team will den Softwareherstellern mehr Zeit zum Entwickeln besserer Patches einräumen. Es soll vermieden werden, dass sich durch zu schnelle Bereitstellung von Patches neue Fehler einschleichen – oder dass die grundsätzlichen Probleme, die zur Schwachstelle führen, aufgrund von Zeitmangel gar nicht erst angegangen werden. Anwendern mehr Zeit geben Im Blog-Beitrag merkt Willis auch an, dass sich die Sicherheit der Endbenutzer nicht unmittelbar dadurch erhöhe, dass ein Fehler gefunden und durch den Hersteller per Patch behoben werde. Die Sicherheit verbessere sich erst, wenn der Endbenutzer sein Gerät oder System tatsächlich aktualisiere. Der fixe 90-Tage-Zeitraum lässt den Herstellern also auch mehr Zeit zur Bereitstellung von Patches und zum Veröffentlichen entsprechender Updatehinweise. Und gleichzeitig räumt er den Anwendern mehr Zeit zum Aktualisieren ein. Last but not least werden Anwender die Patches auch nur dann einspielen, wenn sie nicht mit Folgeproblemen aufgrund schlechter Qualität zu rechnen haben. (Günter Born) / (ovw) Zur Startseite