Streit um offengelegte Sicherheitslücken - Google Project Zero verändert Fristen

Googles Project Zero besteht nun nicht mehr auf einer fixen 90-Tage-Frist zur Veröffentlichung eines Updates.

In den letzten Wochen wurde Googles Project Zero immer wieder stark kritisiert, weil die Sicherheitsforscher strikt an einer 90-Tage-Frist für die Veröffentlichung von gemeldeten Sicherheitslücken festhielten. War nach Ablauf dieser Zeit kein Update erhältlich, dass den Fehler behebt, wurde die Lücke samt Beispielcode zur Ausnutzung veröffentlicht. Vor allem Microsoft hatte diese Praxis scharf kritisiert, da in manchen Fällen der Patch bereits fertiggestellt und nur einige Tage später hätte veröffentlicht werden sollen. In einem anderen Fall waren beim Test des Updates kurz vor der geplanten Veröffentlichung Kompatibilitätsprobleme aufgetreten, die zu einer Verschiebung führten.

Obwohl Google darüber informiert worden war, wurden die Sicherheitslücken offengelegt. Auch unpatchte Sicherheitslücken in Apples Mac OS X wurden auf diese Weise bekannt. Nun hat die anhaltende Kritik an diesem unflexiblen Verhalten zu einem Umdenken bei Project Zero geführt. In einem Blogbeitrag beschreibt das Team einige Änderungen an den bisherigen Regelungen. Zwar bleibt es grundsätzlich bei der 90-Tage-Frist, da die meisten Probleme schon jetzt innerhalb dieser Zeit behoben werden. Doch nun können Softwarehersteller eine zusätzliche Bearbeitungszeit von 14 Tagen erhalten, wenn ein Patch bereits in Arbeit ist.

Außerdem werden die Sicherheitsforscher nun die Zeitperiode bis zur Veröffentlichung nicht mehr an einem Wochenende auslaufen lassen, sondern erst am nächsten Werktag. Damit sollten Fälle, bei denen zwischen dem geplanten Ablauf der Frist und der Veröffentlichung eines Updates nur einige Tage liegen, nicht mehr so oft auftreten wie bisher. Google ist übrigens von den bisherigen Erfolgen von Project Zero erfreut und hofft auf noch mehr Mitarbeit von anderen Sicherheitsexperten.