Google wird Sicherheitslücken künftig früher bekannt machen
60 Tage, das ist Googles Zeitspanne, die Software-Entwickler bisher Zeit hatten, um unbekannte Sicherheitslücken zu schließen. Das heißt, dass die Lücke nicht öffentlich bekannt ist, bis der entsprechende Hersteller, der natürlich informiert wird, diese geschlossen hat.
Google findet diese Zeitspanne nun zu lange und wird in Zukunft nur noch 7 Tage bis zur Publikation Zeit geben. Das heißt, das ein gewisser Druck auf die Entwickler ausgeübt wird, die Lücke schneller zu schließen. Wird nun beispielsweise eine Lücke im Internet Explorer entdeckt, erhält Microsoft heute darüber Bescheid und muss zusehen, wie die Lücke bis nächste Woche geschlossen wird. Ist die Lücke bekannt, bevor sie geschlossen wurde, stehen der dunklen Seite des Internets alle Türen offen, um diese auszunutzen.
[werbung] Natürlich ist es gut, wenn Risiken schneller behoben werden, aber was ist, wenn dies eben nicht in den 7 Tagen möglich ist? Google sieht es so, dass aktiv ausgenutzte, aber nicht öffentlich kommunizierte Sicherheitslücken in vielen Fällen eine Gefahr darstellen, zum Beispiel bei Aktivisten, die in bestimmten Ländern sogar um ihr Leben fürchten müssen. Eine schnellere Bekanntmachung würde zwar das Problem nicht beheben, aber den Vorgang eines Patches beschleunigen. Eine unbemerkte Verbreitung würde somit eingedämmt werden und wenn Software-Entwickler in dieser Zeit keinen Patch anbieten können, könnten sie zumindest Hinweise geben, wie man eine Ausnutzung verhindern kann.
(Bildquelle: Shutterstock, Hacker typing on a laptop with binary code in background)
Der wahre Grund für dieses Vorgehen von Google dürfte mit „J“ anfangen und mit „ava“ enden. Die haben sich in der letzten Zeit nicht sonderlich mit Ruhm bekleckert
Wie genau darf man sich diese Publikation vorstellen? Aufnahme in die Google Suche?
Wem will Google nur noch 7 Tage Zeit geben? Seinen Entwicklern, den AppStore-Entwicklern oder einfach anderen Entwicklern? Wo wollen sie das publizieren? In der Google-Suche?
Ist irgendwie nicht so schön eingeleitet dieser Artikel.
:-DDD „in der google suche“
Ein Teaser auf der Google-Startseite am siebten Tag… Das müsste schon irre viel Druck machen… aber auch so an sich die beste Methode so etwas zu verhindern. Mach ich bei Bugs genau so – zuletzt bei Spotify – erst mit Lösungsvorschlag anschreiben, dann ein paar Wochen später ohne Lösungsweg (garantiert nicht im eigenen Blog) publizieren… hilft meist… – und Geld brauch ich dafür nicht – gerade wenn ich nur zufällig über so etwas stoße…
@Konstantin
Wie schreibst du die denn mit Lösungsvorschlag an? -Das sind doch meistens Geschichten die im Quellcode des jeweiligen Programms verborgen liegen
Sorry, aber wieder mal einige falsche Informationen. Es geht hier nur um Sicherheitslücken, die schon ausgenutzt werden, also bestimmten Personen eh schon bekannt sind.
@laderio
Man kann davon ausgehen, dass die meisten Sicherheitslücken „betimmten Personen“ bekannt sind.. Es geht um Zero-Day-Threats (bisher nicht offiziell veröffentlichte Sicherheitslücken);-)
@laderio: Gelesen? „Google sieht es so, dass aktiv ausgenutzte, aber nicht öffentlich kommunizierte Sicherheitslücken in vielen Fällen eine Gefahr darstellen, zum Beispiel bei Aktivisten, die in bestimmten Ländern sogar um ihr Leben fürchten müssen.“