Project Zero: Google definiert 90 Tage-Frist genauer

15. Februar 2015 Kategorie: Backup & Security, geschrieben von:

90 Tage, das ist der bislang von Google gewählte Zeitraum zwischen der Meldung einer Sicherheitslücke bei einem Hersteller und deren Offenlegung im Netz. In eine hitzige Diskussion kamen eben jene 90 Tage, da Google Sicherheitslücken veröffentlicht hat, die Microsoft in der gesetzten Frist nicht schließen konnte. Bei Google Security Research wurde zwischenzeitlich diskutiert, ob man eine solche Lücke, die Millionen von Nutzern betrifft, tatsächlich öffentlich machen sollte.

Google Office

Diese Diskussion gab es bereits, als Google die 90-Tage-Frist einführte. Nach der ganzen Diskussion gibt es nun Neues aus dem Hause Google. So hält man zwar weiterhin generell an der 90 Tage-Regelung fest, wird aber keine Sicherheitslücken veröffentlichen, wenn die 90 Tage-Frist an einem Tag am Wochenende oder während der Feiertage abgelaufen ist.

Weiterhin gibt es eine 14 Tage-Gnadenfrist.

Lässt der betreffende Hersteller das Sicherheitsteam von Google wissen, dass man bereits an einem Patch arbeitet, kann diesen aber nicht in der Frist fertigstellen, dann gibt es noch einmal 14 Tage oben drauf. Heißt: Rührt sich der Hersteller mit seiner Sicherheitslücke nicht, dann wird diese nach 90 Tagen offengelegt – ansonsten hat er noch weitere 14 Tage Zeit.

Google teilt mit, dass diese Richtlinien für alle gleich sind, auch für Produkte, die Google betreffen – Chrome oder Android beispielsweise. Aber es heißt auch, dass man sich das Recht vorbehalte, diese Fristen nach vorne oder hinten zu schieben, wenn es die Umstände erfordern.


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 25473 Artikel geschrieben.