Menü

90 Tage ohne Ausnahmen: Googles Project Zero ändert Offenlegungsrichtlinie

Das Team um Googles Project Zero hat mit Wirkung zum 1. Januar seine Disclosure Policy aktualisiert. Ein Ziel: bessere Sicherheitsupdates.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 37 Beiträge

(Bild: Den Rise/Shutterstock.com)

Von

Sicherheitsanalysten aus Googles Project-Zero-Team suchen aktiv nach Schwachstellen in Softwareprodukten verschiedener Hersteller – mit dem Ziel, sie früher als potenzielle Angreifer zu finden und zu beheben. Schwachstellen-Funde meldet das Team an die Entwickler der verwundbaren Software und setzt ihnen im Sinne einer verantwortungsvollen Offenlegung (Responsible Disclosure) eine bestimmte Frist zum Patchen.

In der Vergangenheit erfolgte die Offenlegung der Schwachstellen durch Project Zero nach spätestens 90 Tagen – oder früher, sofern die Patches bereits vor Ablauf dieser Frist verfügbar waren. Im Rahmen einer überarbeiteten Offenlegungsrichtlinie (Disclosure Policy), die vorerst für ein Jahr gelten soll, hat Project Zero unter in diesem Punkt eine wichtige Änderung beschlossen: Für alle Schwachstellen, die nach dem 1. Januar 2020 gemeldet werden, gewährt das Analysten-Team nun eine fixe Offenlegungsfrist von 90 Tagen. Dies gilt unabhängig davon, wann (und ob) ein Patch bereitgestellt wird.

Die 2015 eingeführte 14-tägige "Gnadenfrist" bleibt bestehen. Software-Entwickler können sie in Absprache mit dem Project Zero in Anspruch nehmen, sofern sie nach eigener Einschätzung zwar nicht innerhalb von 90, aber von 104 Tagen Patches bereitstellen können.

Der Ankündigung der neuen Disclosure Policy im Project-Zero-Blog ist zu entnehmen, dass das Team mit seiner Richtlinie in den letzten fünf Jahren als primäres Ziel die schnellere Entwicklung von Patches anstrebte.

(Bild: googleprojectzero.blogspot.com/)

Tim Willis von Project Zero beschreibt im Blogeintrag, dass sich das Projekt seit seinem Start in 2014 gut entwickelt und habe und von den meisten Softwareherstellern positiv gesehen werde. 2014 habe es in manchen Fällen noch bis zu sechs Monate gedauert, bis ein Update bereitstand. Inzwischen würden 97,7 Prozent aller gemeldeten kritischen Schwachstellen innerhalb der 90-tägigen Offenlegungsfrist durch die Hersteller behoben.

Die Festlegung einer fixen Frist von 90 Tagen rückt nun neben der Schnelligkeit die Qualität der Patches stärker in den Fokus: Das Team will den Softwareherstellern mehr Zeit zum Entwickeln besserer Patches einräumen. Es soll vermieden werden, dass sich durch zu schnelle Bereitstellung von Patches neue Fehler einschleichen – oder dass die grundsätzlichen Probleme, die zur Schwachstelle führen, aufgrund von Zeitmangel gar nicht erst angegangen werden.

Im Blog-Beitrag merkt Willis auch an, dass sich die Sicherheit der Endbenutzer nicht unmittelbar dadurch erhöhe, dass ein Fehler gefunden und durch den Hersteller per Patch behoben werde. Die Sicherheit verbessere sich erst, wenn der Endbenutzer sein Gerät oder System tatsächlich aktualisiere. Der fixe 90-Tage-Zeitraum lässt den Herstellern also auch mehr Zeit zur Bereitstellung von Patches und zum Veröffentlichen entsprechender Updatehinweise. Und gleichzeitig räumt er den Anwendern mehr Zeit zum Aktualisieren ein.

Last but not least werden Anwender die Patches auch nur dann einspielen, wenn sie nicht mit Folgeproblemen aufgrund schlechter Qualität zu rechnen haben. (Günter Born) / (ovw)