Google verlängert Sperrfrist für Offenlegung von Zero-Day-Lücken

Google hat die Richtlinien seiner Sicherheitsinitiative Project Zero dahingehend überarbeitet, dass es Entwicklern unter bestimmten Umständen mehr Zeit einräumt, eine gemeldete Zero-Day-Lücke zu schließen. Bisher machte der Internetkonzern solche Schwachstellen ohne Ausnahme nach einer Sperrfrist von 90 Tagen öffentlich, was ihm zuletzt einige Kritik – vor allem seitens Microsoft – einbrachte.

Laut einem Eintrag im Project-Zero-Blog will Google in Zukunft Fristverlängerungen gewähren. Fällt das Fristende auf ein Wochenende oder einen Feiertag in den USA, soll die Schwachstelle erst am nächsten Werktag offengelegt werden. Außerdem will Google mit der Bekanntgabe einer Zero-Day-Lücke warten, wenn ein Hersteller bereits einen Patch angekündigt hat, der innerhalb von 14 Tagen nach Ablauf der 90-Tage-Frist veröffentlicht wird. Unter besonderen Umständen behält sich der Konzern vor, die Frist zu verkürzen oder zu verlängern. Details dazu nennt er allerdings nicht. Eine Vorzugsbehandlung für Firmen mit großem Marktanteil oder eigene Produkte gibt es Google zufolge nicht.

Dass die 90-Tage-Frist zur Beseitigung von Zero-Day-Lücken ausreichen kann, beweist Adobe. Project Zero zufolge hat es das Unternehmen geschafft, die bisher 37 gemeldeten Sicherheitslücken innerhalb der Frist zu schließen. Für die bis dato insgesamt 154 von Project Zero gemeldeten Fehler veröffentlichten die Entwickler in 85 Prozent der Fälle einen Patch vor Ablauf der 90 Tage.

Als Problem stellen sich Schwachstellen heraus, die Kriminelle zuerst entdecken, wie es in den letzten Wochen bei Adobe der Fall war. Auf diese muss der Hersteller schnell und spontan reagieren. In diesem Jahr musste Adobe bereits drei kritische Sicherheitslücken in seinem Flash Player schließen.

Im Januar hatte Google Details zu mehreren Windows-Lücken veröffentlicht, für die noch kein Patch vorlag. Microsoft kritisierte das Vorgehen, da es den Internetkonzern über einen bevorstehenden Patch informiert und ihn gebeten hatte, mit der Offenlegung der Schwachstellen zu warten. Google argumentierte damals mit der vorgegebenen Frist von 90 Tagen. Auf diese verwies es auch bei der Bekanntgabe einer ungepatchten Lücke in OS X 10.9.5.

„Project Zero glaubt, dass Fristen für eine Offenlegung ein optimaler Ansatz für die Sicherheit von Nutzern sind“, hieß es in einem Blogbeitrag vom 31. Dezember. Die Fristen gäben Anbietern ausreichend Zeit, Schwachstellen zu prüfen und zu beheben. Sie respektierten aber auch das Recht der Nutzer, von Bedrohungen zu erfahren. „Indem wir einem Anbieter die Möglichkeit nehmen, Details zu einem Sicherheitsproblem unbegrenzt zurückzuhalten, geben wir Nutzern die Möglichkeit, zeitnah auf Schwachstellen zu reagieren und ihr Recht als Kunde auf eine angemessene Reaktion des Anbieters einzufordern.“

Der Linux-Erfinder Linus Torvalds erklärte Mitte Januar, dass er ein „großer Verfechter der Offenlegung“ von Sicherheitslücken sei. Nur „böse Hacker“ profitierten vom Zurückhalten von Informationen. „Tatsache ist, dass ich absolut davon überzeugt bin, dass man sie melden muss, und man muss sie in einem angemessenen Zeitrahmen melden“, so Torvalds.

[mit Material von Andre Borbe, silicon.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de