Googles Team "Project Zero" spürt Schwachstellen und Fehler in Googles eigener Software sowie in von anderen Unternehmen entwickelter Software auf. Gefundene Sicherheitslücken gibt das Sicherheitsteam direkt an die Anbieter weiter. Im Anschluss haben die Software-Autoren 90 Tage Zeit, die Fehler zu beheben. Bisher hat Google die Öffentlichkeit nach 90 Tage informiert. Aktiv von Angreifern ausgenutzte Lücken veröffentlichte Google bisher bereits nach sieben Tagen.
Der neue Ansatz
Bei nicht aktiv ausgenutzten Schwachstellen gewährt Google den Autoren vorerst weiterhin 90 Tage Zeit. Stellen sie bis dahin keine Patches zur Verfügung, wird die Öffentlichkeit sofort informiert. Gibt es jedoch einen Patch, wartet Google 30 Tage ab Verfügbarkeit des Updates, bevor es die Sicherheitslücke öffentlich offenlegt. Es kann also bis zu 120 Tage dauern, bis die Öffentlichkeit Wind bekommt.
Software-Anbieter können bei Project Zero 14 zusätzliche Tage beantragen. Auch dann geht das Sicherheitsteam aber spätestens nach 120 Tagen an die Öffentlichkeit. Hintergrund ist die grundsätzliche Frage, wer von Veröffentlichungen mehr profitiert, Anwender oder Angreifer. Die Frage ist alt und nicht allgemeingültig zu beantworten.
Kürzere Fristen bei akuter Gefahr
Bei aktiv ausgenutzten Sicherheitslücken gewährt Google den Anbietern nur sieben Tage Zeit. Die Software-Autoren können drei Tage Verlängerung beantragen. Gibt es dann keinen Fix, geht Google sofort an die Öffentlichkeit.
Gibt es jedoch einen Fix binnen sieben Tagen, wartet Google danach weitere 30 Tage zu. Es kann also bis zu 37 Tage dauern, bis Google die Öffentlichkeit über aktiv ausgenutzte Sicherheitslücken informiert.
Quelle: heise Online Redaktion