Google Project Zero, ein Team von Sicherheitsexperten, die vom Suchriesen eingesetzt werden, um Zero-Day-Software-Schwachstellen aufzuspüren, hat seine Richtlinien zur Offenlegung von Schwachstellen aktualisiert.

Die aktualisierte Richtlinie fügt einigen Offenlegungen von Sicherheitslücken ein zusätzliches 30-Tage-Fenster hinzu. Zuvor veröffentlichten Google-Forscher am Ende eines 90-Tage-Fensters oder nach dem Patchen des Fehlers Details zu Sicherheitslücken in ihrem Online-Bug-Tracker.

Länger zu patchen

Der zusätzliche Monat (ungefähr) gibt sowohl Anbietern als auch Benutzern etwas mehr Zeit zum Entwickeln, Freigeben und Installieren Sie die erforderlichen Patches für die Software, bevor Details zur Sicherheitsanfälligkeit online veröffentlicht werden. Dies sind gute Nachrichten, da sie in dem Moment, in dem Schwachstellendetails online geteilt werden, möglicherweise von Angreifern bewaffnet werden können.

Obwohl Patches am häufigsten zu dem Zeitpunkt veröffentlicht wurden, an dem Details zu Sicherheitslücken veröffentlicht wurden, hängt dies immer noch davon ab, dass Benutzer die Patches selbst installiert haben. In einigen Fällen kann dies eine zeitintensive Aufgabe sein. Die zusätzlichen 30 Tage von Google sind daher eine gute Nachricht.

instagram viewer

"Das Ziel unserer Richtlinienaktualisierung für 2021 ist es, den Zeitplan für die Patch-Einführung zu einem expliziten Bestandteil unserer Richtlinie zur Offenlegung von Sicherheitslücken zu machen", sagte Tim Willis von Project Zero Vendors in a Blogeintrag Beschreibung der Änderung. "Die Anbieter haben jetzt 90 Tage Zeit für die Patch-Entwicklung und weitere 30 Tage für die Patch-Einführung."

Project Zero verlängert zusätzlich die zusätzliche 30-tägige Nachfrist auf Zero-Day-Schwachstellen die aktiv gegen Benutzer in freier Wildbahn ausgenutzt werden. Während die Offenlegungsfrist für das Patchen nur sieben Tage beträgt, werden technische Details erst 30 Tage nach dem Fix veröffentlicht, solange das Problem von den Entwicklern behoben wird. Wenn nicht, werden technische Details sofort veröffentlicht.

Auch auf Zero Day-Sicherheitslücken erweitert

Diese neuen Regeln gelten für 2021, obwohl sich die Dinge in Zukunft wieder ändern könnten. In dem Blog-Beitrag heißt es: "Wir bevorzugen es, einen Ausgangspunkt zu wählen, der von den meisten Anbietern konsistent eingehalten werden kann, und dann die Zeitpläne für die Patch-Entwicklung und die Patch-Einführung schrittweise zu verkürzen."

Es ist eine schwierige Aufgabe, diese Art von Offenlegungen richtig zu machen, um die Interessen der Benutzer in Einklang zu bringen und den Entwicklern genügend Zeit zu geben, um einen Patch zu entwickeln und zu veröffentlichen. Wie dem Project Zero-Team klar ist, wird dieser Bereich im Zuge der Entwicklung von Cybersicherheits- und Patching-Maßnahmen weiter optimiert.

Im Moment fällt es Ihnen jedoch schwer zu behaupten, dass die Sicherheitsexperten von Google nicht das Richtige tun.

Bildnachweis: Mitchell Luo /CC entfernen

Email
Microsofts Patch Tuesday behebt Zero-Day-Exploit und andere kritische Fehler

Aktualisieren Sie Ihre Windows-Systeme, um sich vor kritischen Sicherheitslücken zu schützen.

Weiter lesen

Verwandte Themen
  • Tech News
  • Google
  • Onlinesicherheit
Über den Autor
Luke Dormehl (128 Artikel veröffentlicht)

Luke ist seit Mitte der neunziger Jahre ein Apple-Fan. Seine Hauptinteressen im Bereich Technologie sind intelligente Geräte und die Schnittstelle zwischen Technologie und freien Künsten.

Mehr von Luke Dormehl

Abonnieren Sie unseren Newsletter

Abonnieren Sie unseren Newsletter für technische Tipps, Rezensionen, kostenlose E-Books und exklusive Angebote!

Noch ein Schritt…!

Bitte bestätigen Sie Ihre E-Mail-Adresse in der E-Mail, die wir Ihnen gerade gesendet haben.

.