Linus Torvalds: Sicherheitsprobleme müssen offengelegt werden

Linus Torvalds hat sich auf einer Linux-Konferenz in Australien für die Veröffentlichung von Sicherheitslücken ausgesprochen. Sicherheit an sich sei weiterhin ein großes Problem – dass mehr Lücken offengelegt würden, bezeichnete er hingegen als befriedigend.

„Ich bin ein großer Verfechter der Offenlegung“, sagte Torvalds. Es gebe zwar Leute, die schon seit Jahrzehnten argumentierten, niemand wolle über Sicherheitsprobleme sprechen, da das nur den „bösen Hackern“ helfe. „Tatsache ist, dass ich absolut davon überzeugt bin, dass man sie melden muss, und man muss sie in einem angemessenen Zeitrahmen melden.“

„Der Zeitrahmen für die Kernel Security List ist zugegebenermaßen fünf Arbeitstage, was einige Leute für ein wenig extrem halten. Bei anderen Projekten ist es vielleicht ein Monat oder mehrere Monate, aber das ist immer noch besser als Jahre über Jahre des Stillschweigens, was wir bisher hatten“, so Torvalds weiter.

Torvalds mischt sich mit seinen Kommentaren zumindest indirekt in einen Streit zwischen Google und Microsoft über die verantwortungsvolle Offenlegung von Sicherheitslücken ein. Der Internetkonzern hatte zuletzt Details zu drei Windows-Schwachstellen veröffentlicht, für die Microsoft noch keine Patches bereitgestellt hatte. Google hatte die Anfälligkeiten im Rahmen seines Project Zero selbst entdeckt und sie nach einer selbst gesetzten Sperrfrist von 90 Tagen publik gemacht. In mindestens zwei Fällen hatte Microsoft Google um eine Fristverlängerung gebeten, da es einen Fix in der vorgegebenen Zeit nicht bereitstellen konnte. Die Bekanntmachung einer Lücke zwei Tage vor Microsofts Patchday sorgte schließlich für Streit zwischen den beiden Unternehmen.

„Obwohl sich Google an seinen angekündigten Zeitplan für die Offenlegung gehalten hat, fühlt sich die Entscheidung nicht nach Prinzipien an, sondern mehr wie ein ‘Erwischt’ an“, schrieb Chris Betz, Senior Director des Microsoft Security Response Center, vor einer Woche in einem Blogeintrag. Die Leidtragenden seien nun die Kunden. „Was richtig ist für Google, ist nicht immer richtig für die Kunden. Wir bitten Google dringend, den Schutz der Kunden zu unserem gemeinsamen primären Ziel zu machen.“

Die Offenlegung aller Details einer Schwachstelle ist jedoch auch in Sicherheitskreisen umstritten. Der Sicherheitsexperte Graham Cluley hatte Google dafür zuletzt scharf kritisiert. „Wenn Google frustriert ist, dass Microsoft so lange für die Veröffentlichung eines Patches benötigt, dann sollte es sich mit seinen Bedenken an die Medien wenden und ihnen den Fehler zeigen – nicht aber Beispielcode veröffentlichen, den jeder ausnutzen kann“, schreibt Cluley in seinem Blog. Mit Hinblick auf Googles Entscheidung, den Support für WebView in Android 4.3 und früher einzustellen, ergänzte er: „Man stelle sich vor, Microsoft-Forscher gäben Google 90 Tage Zeit, um eine Anfälligkeit in WebView in Android 4.3 zu beseitigen, bevor sie Beispielcode für einen Exploit veröffentlichen. Ich frage mich, wie Google sich dann fühlen würde?“

[mit Material von Chris Duckett, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Hochsichere Software für Electronic Knee Boards der Bundeswehrpiloten

Im Rahmen der umfassenden Digitalisierung der Bundeswehr ersetzen Electronic Knee Boards die herkömmlichen Handbücher von…

3 Stunden ago

Mai-Patchday: Microsoft schließt zwei aktiv ausgenutzte Zero-Day-Lücken

Sie betreffen Windows 10, 11 und Windows Server. In SharePoint Server steckt zudem eine kritische…

6 Stunden ago

Firefox 126 erschwert Tracking und stopft Sicherheitslöcher

Mozilla verteilt insgesamt 16 Patches für Firefox 125 und älter. Zudem entfernt der Browser nun…

8 Stunden ago

Supercomputer-Ranking: Vier europäische Systeme in den Top Ten

Einziger Neueinsteiger ist das Alps-System in der Schweiz. Die weiteren Top-Ten-Systeme aus Europa stehen in…

22 Stunden ago

Angriffe mit Banking-Malware auf Android-Nutzer nehmen weltweit zu

Im vergangenen Jahr steigt ihre Zahl um 32 Prozent. Die Zahl der betroffenen PC-Nutzer sinkt…

24 Stunden ago

Künstliche Intelligenz fasst Telefonate zusammen

Die App satellite wird künftig Telefongespräche in Echtzeit datenschutzkonform mit Hilfe von KI zusammenfassen.

1 Tag ago