Home-theater-designers
Google Project Zero, ein Team von Sicherheitsexperten, das beim Suchgiganten mit der Suche nach Zero-Day-Software-Schwachstellen beschäftigt ist, hat seine Richtlinien zur Offenlegung von Schwachstellen aktualisiert.
Die aktualisierte Richtlinie fügt einigen Veröffentlichungen von Sicherheitsfehlern ein zusätzliches 30-Tage-Fenster hinzu. Zuvor veröffentlichten Google-Forscher am Ende eines 90-Tage-Fensters oder nach dem Patchen des Fehlers Details zu Schwachstellen in ihrem Online-Bugtracker.
kostenlose Text-to-Speech-Software mit natürlichen Stimmen
Länger zum Patchen
Der zusätzliche Monat (ungefähr) gibt Anbietern und Benutzern etwas mehr Zeit, um die erforderlichen Patches für ihre Software zu entwickeln, freizugeben und zu installieren, bevor Details der Sicherheitslücke online bekannt gegeben werden. Dies ist eine gute Nachricht, da in dem Moment, in dem Details zu Sicherheitslücken online geteilt werden, diese möglicherweise von Angreifern als Waffe eingesetzt werden könnten.
Obwohl Patches am häufigsten zu dem Zeitpunkt veröffentlicht wurden, an dem Details zur Schwachstelle veröffentlicht wurden, hängt dies immer noch davon ab, dass Benutzer die Patches selbst installiert haben. In manchen Fällen kann dies eine zeitintensive Aufgabe sein. Die zusätzlichen 30 Tage von Google sind daher eine gute Nachricht.
'Das Ziel unserer Richtlinienaktualisierung für 2021 ist es, den Zeitplan für die Einführung von Patches zu einem ausdrücklichen Bestandteil unserer Richtlinien zur Offenlegung von Sicherheitslücken zu machen', sagte Tim Willis von Project Zero Vendors in a Blogeintrag die Veränderung beschreiben. 'Anbieter haben jetzt 90 Tage Zeit für die Patch-Entwicklung und weitere 30 Tage für die Patch-Einführung.'
Project Zero verlängert die zusätzliche 30-Tage-Frist zusätzlich auf Zero-Day-Schwachstellen die aktiv gegen Benutzer in freier Wildbahn ausgenutzt werden. Während die Offenlegungsfrist für das Patchen nur sieben Tage beträgt, werden technische Details erst 30 Tage nach dem Fix veröffentlicht – solange das Problem von den Entwicklern behoben wird. Falls nicht, werden technische Details umgehend veröffentlicht.
Auch auf Zero-Day-Schwachstellen erweitert
Diese neuen Regeln gelten für 2021, obwohl sich die Dinge in Zukunft wieder ändern könnten. In dem Blogbeitrag heißt es: 'Unsere Präferenz ist es, einen Ausgangspunkt zu wählen, der von den meisten Anbietern konsequent erreicht werden kann, und dann die Zeitpläne für die Patch-Entwicklung und die Patch-Einführung schrittweise zu verkürzen.'
Es ist eine schwierige Aufgabe, diese Art von Offenlegungen richtig zu machen, da die besten Interessen der Benutzer in Einklang gebracht werden müssen und den Entwicklern genügend Zeit für die Entwicklung und Veröffentlichung eines Patches gegeben wird. Wie dem Project Zero-Team klar ist, ist dies ein Bereich, der im Zuge der Entwicklung von Cybersicherheits- und Patching-Maßnahmen weiter optimiert werden wird.
App zum Ansehen kostenloser Filme auf Android
Im Moment fällt es Ihnen jedoch schwer zu behaupten, dass die Sicherheitsexperten von Google nicht das Richtige tun.
Bildquelle: Mitchell Luo/ Unsplash CC
Teilen Teilen Tweet Email Microsofts Patch Tuesday behebt Zero-Day-Exploit und andere kritische FehlerAktualisieren Sie Ihre Windows-Systeme, um sich vor den kritischen Sicherheitslücken zu schützen.
Weiter lesen Verwandte Themen- Sicherheit
- Technische Nachrichten
- Onlinesicherheit
Luke ist seit Mitte der 1990er Jahre ein Apple-Fan. Seine Hauptinteressen im Bereich Technologie sind Smart Devices und die Schnittstelle zwischen Tech und den freien Künsten.
Mehr von Luke DormehlAbonniere unseren Newsletter
Abonnieren Sie unseren Newsletter für technische Tipps, Rezensionen, kostenlose E-Books und exklusive Angebote!
Klicken Sie hier, um zu abonnieren