In den letzten Wochen wurde Googles Project Zero immer wieder stark kritisiert, weil die Sicherheitsforscher strikt an einer 90-Tage-Frist für die Veröffentlichung von gemeldeten Sicherheitslücken festhielten. War nach Ablauf dieser Zeit kein Update erhältlich, dass den Fehler behebt, wurde die Lücke samt Beispielcode zur Ausnutzung veröffentlicht. Vor allem Microsoft hatte diese Praxis scharf kritisiert, da in manchen Fällen der Patch bereits fertiggestellt und nur einige Tage später hätte veröffentlicht werden sollen. In einem anderen Fall waren beim Test des Updates kurz vor der geplanten Veröffentlichung Kompatibilitätsprobleme aufgetreten, die zu einer Verschiebung führten.
Obwohl Google darüber informiert worden war, wurden die Sicherheitslücken offengelegt. Auch unpatchte Sicherheitslücken in Apples Mac OS X wurden auf diese Weise bekannt. Nun hat die anhaltende Kritik an diesem unflexiblen Verhalten zu einem Umdenken bei Project Zero geführt. In einem Blogbeitrag beschreibt das Team einige Änderungen an den bisherigen Regelungen. Zwar bleibt es grundsätzlich bei der 90-Tage-Frist, da die meisten Probleme schon jetzt innerhalb dieser Zeit behoben werden. Doch nun können Softwarehersteller eine zusätzliche Bearbeitungszeit von 14 Tagen erhalten, wenn ein Patch bereits in Arbeit ist.
Außerdem werden die Sicherheitsforscher nun die Zeitperiode bis zur Veröffentlichung nicht mehr an einem Wochenende auslaufen lassen, sondern erst am nächsten Werktag. Damit sollten Fälle, bei denen zwischen dem geplanten Ablauf der Frist und der Veröffentlichung eines Updates nur einige Tage liegen, nicht mehr so oft auftreten wie bisher. Google ist übrigens von den bisherigen Erfolgen von Project Zero erfreut und hofft auf noch mehr Mitarbeit von anderen Sicherheitsexperten.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.