ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Betriebssystem

Project Zero: Google hält Lücken nach Streit mit Microsoft länger geheim

Silvio Werner
45 Kommentare
Project Zero: Google hält Lücken nach Streit mit Microsoft länger geheim
Bild: Hebi65 | CC0 1.0

Google wird Sicherheitslücken in Software anderer Unternehmen künftig unter Umständen erst später öffentlich machen und auf einen geplanten Veröffentlichungstermin des entsprechenden Softwareupdates Rücksicht nehmen. Der Internetkonzern reagiert damit auf die heftige Kritik durch Microsoft im Januar dieses Jahres.

Google hat seine Veröffentlichungspolitik in Bezug auf Sicherheitslücken in Programmen anderer Unternehmen angepasst, wie Chris Evans vom Project Zero in einem Blogeintrag verkündet. Unternehmen bietet sich somit zusätzlich zur 90-tägigen Geheimhaltungsfrist eine Gnadenfrist von vierzehn Tagen, wenn die Unternehmen Google über einen geplanten Patch unterrichten. Zudem wird das Ende der Fristen nach hinten verschoben, wenn dieses auf ein Wochenende oder auf einen gesetzlichen Feiertag fällt. Weiterhin wird Google in Zukunft den Industriestandard Common Vulnerabilities and Exposures (CVE) nutzten, um Sicherheitslücken eindeutig durch die Mitre Corporation bereits vor Veröffentlichung zu benennen. Mit einer Geheimhaltungsfrist von 90 Tagen befindet sich Google durchaus im Mittelfeld: Das Computer Emergency Response Team der Carnegie Mellon University bringt Sicherheitslücken schon nach 45 Tagen an die Öffentlichkeit, die Zero Day Initiative veröffentlicht diese hingegen erst nach 120 Tagen.

Die vierzehntägige Gnadenfrist hätte im Januar 2015 einigen Streit zwischen Google und Microsoft verhindern können: Google gab nach Ablauf der 90 Tage langen Geheimhaltungsfrist Informationen über eine Sicherheitslücke in Windows 8.1 an die Öffentlichkeit, obwohl Microsoft darum bat, die Lücke erst zwei Tage später nach der Veröffentlichung des Patches zu veröffentlichen. Google argumentierte, dass die Frist für ausnahmslos alle Produkte und Unternehmen gelte.

Gleichzeitig gibt Google im Blogeintrag einige Zahlen über das Project Zero bekannt. So führt Adobe mit 37 durch Google gefundene Sicherheitslücken die Liste zahlenmäßig an – schloss alle Lücken allerdings innerhalb der 90-Tage-Frist. Von allen bisher 154 von Google entdeckten und durch das betroffene Unternehmen geschlossenen Sicherheitslücken passierte dies in 95 Prozent der Fälle innerhalb der 90 Tage dauernden Geheimhaltungsfrist.

CB-Funk Podcast #66: EKWB am Abgrund, arm(e) AI-PCs und Benchmarks en masse mit Fabian und Jan-Frederik

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz