Sicherheit: Google schraubt Schonfrist runter

google 

Google beschäftigt wie viele andere Firmen auch ein Sicherheitsteam, welches in eigener aber auch in fremder Software nach Sicherheitslücken sucht und diese an die Entwickler meldet.

So hat das Team schon zahlreiche Lücken in Google Chrome gefunden und zum Fix beigetragen, aber auch schon Lücken in Windows hat Google so Microsoft schon gemeldet.

Bisher hat Google 60 Tage gewartet, wenn eine Lücke gefunden und der Hersteller informiert wurde, ehe man damit an die Öffentlichkeit ging. Diese zwei Monate sind aber laut Google zu lange. Daher will man in Zukunft bereits nach sieben Tagen öffentlich informieren.

Dies gilt besonders für 0-Day-Lücken, die aktiv ausgenutzt werden. Nach Ablauf der 7-Tages-Frist wird Google die Öffentlichkeit über solche Lücken informieren. Der Hersteller kann in dieser entweder die Lücke durch ein Update schließen, er sollte aber zumindest erklären, wie man die Sicherheit wieder erhöhen kann.

Diese Schritte sind ein Angriff auf Hersteller wie Microsoft, Oracle und Adobe, die eine sehr konservative Politik in Sachen zeitnahe Updates bei Sicherheitslücken fahren und in Ausnahmefällen vom „Patch-Day-Plan“ abweichen.

Die Frist gilt auch für Software von Google. Natürlich lässt sich über Sinn und Unsinn dieser Frist streiten. Die einen sagen, dass man bei solchen Lücken erst den Hersteller informieren muss und Details erst zur Verfügung stellen soll, wenn der die Lücke beseitigt hat, die anderen wollen eine sofortige Veröffentlichung.

Dass man Sicherheitsupdates auch zeitnahe bereit stellen kann, zeigt sich immer wieder an Google Chrome. Dort werden Sicherheitslücken, die weite Teile des Sicherheitskonzepts – wenn auch unter Ausnutzung von anderen Lücken – aushebeln, binnen weniger Stunden gefixt.

Wenn ich es richtig im Kopf habe, waren es bei einem der Pwnium Wettbewerbe um die 30 Stunden.

Meiner Meinung nützt es aber recht wenig, wenn die Sicherheitslücken zwar vom Hersteller behoben werden, aber der Anwender das Update nicht installiert, weil er von ständigen Updates genervt ist.

Was ist Eure Meinung dazu?

[via]

Teile diesen Artikel:

comment ommentare zur “Sicherheit: Google schraubt Schonfrist runter

  • also beim Chrome währe es mir unverständlich, wie man da ein Update verpassen sollte
    das läuft ja eigentlich immer automatisch im Hintergrund ab und der Nutzer merkt nicht wirklich was davon
    wenn alle das so machen würden, wie es z.B. auch bei avast! ist, dann wären die Nutzer auch nicht so genervt und auch immer auf dem aktuellsten Stand!

  • In Sachen Java sicherlich nicht verkehrt.
    Fraglich ist aber, wie das mit Android laufen soll. Das ist ja bekanntlich weit fragmentiert über die einzelnen Smartphones.

Kommentare sind geschlossen.