IT-Security-Team
09.01.2020, 14:30 Uhr
09.01.2020, 14:30 Uhr
Google ändert Richtlinien von Project Zero
Google will in den kommenden 12 Monaten neue Richtlinien für Project Zero testen. Im Wesentlichen erhalten Betroffene mehr Zeit, eine Schwachstelle zu beheben. Unter anderem kann die übliche Frist von 90 auf 104 Tage verlängert werden.
Im Rahmen eines Testlaufs will Google die Richtlinien für Project Zero ändern. Statt eine gefundene Schwachstelle nach maximal 90 Tagen offenzulegen, kann diese Frist auf Antrag nun auf bis zu 104 Tage verlängert werden.
Die Sicherheitsexperten von Project Zero haben es sich zur Aufgabe gemacht, Sicherheitslücken aller Art aufzuspüren. Überprüft wird neben den Google-eigenen Lösungen wie Chrome und Android auch die Software anderer Anbieter. Stossen die Experten auf ein Leck, wird der jeweils Verantwortliche umgehend darüber informiert. Sodann startet eine bestimmte Frist, in der die Schwachstelle beseitigt werden soll.
Bisher gewährte Google hierfür maximal 90 Tage. Nun jedoch sollen betroffene Entwickler die Möglichkeit erhalten, diese Zeit auf bis zu 104 Tage auszudehnen, wenn bereits absehbar ist, dass die Behebung länger dauert. Damit erhalten die Betroffenen immerhin zwei Wochen mehr Zeit, an dem Problem zu arbeiten. Nach Ablauf legt Google die Schwachstelle offen – ob behoben oder nicht.
Ferner war es bei Project Zero bisher üblich, eine Sicherheitslücke bereits vor Ablauf der Frist öffentlich bekanntzumachen, wenn dafür schon früher ein Patch bereitgestellt wurde. Problematisch hieran ist allerdings, dass die betroffenen Entwickler damit keine Zeit haben, die Anpassungen zu testen. Aufgrund dessen hat Google nun beschlossen, Lücken immer erst nach 90 Tagen zu publizieren, auch wenn diese schneller behoben wurden.
Nichts geändert wird hingegen an der Praxis, bereits aktiv ausgenutzte Zero-Day-Exploits unmittelbar nach deren Entdeckung zu veröffentlichen. Google will die neuen Richtlinien im Verlauf der kommenden 12 Monate testen.