Google wird Sicherheitslücken künftig früher bekannt machen

60 Tage, das ist Googles Zeitspanne, die Software-Entwickler bisher Zeit hatten, um unbekannte Sicherheitslücken zu schließen. Das heißt, dass die Lücke nicht öffentlich bekannt ist, bis der entsprechende Hersteller, der natürlich informiert wird, diese geschlossen hat.

shutterstock_135704441
Google findet diese Zeitspanne nun zu lange und wird in Zukunft nur noch 7 Tage bis zur Publikation Zeit geben. Das heißt, das ein gewisser Druck auf die Entwickler ausgeübt wird, die Lücke schneller zu schließen. Wird nun beispielsweise eine Lücke im Internet Explorer entdeckt, erhält Microsoft heute darüber Bescheid und muss zusehen, wie die Lücke bis nächste Woche geschlossen wird. Ist die Lücke bekannt, bevor sie geschlossen wurde, stehen der dunklen Seite des Internets alle Türen offen, um diese auszunutzen.

[werbung] Natürlich ist es gut, wenn Risiken schneller behoben werden, aber was ist, wenn dies eben nicht in den 7 Tagen möglich ist? Google sieht es so, dass aktiv ausgenutzte, aber nicht öffentlich kommunizierte Sicherheitslücken in vielen Fällen eine Gefahr darstellen, zum Beispiel bei Aktivisten, die in bestimmten Ländern sogar um ihr Leben fürchten müssen. Eine schnellere Bekanntmachung würde zwar das Problem nicht beheben, aber den Vorgang eines Patches beschleunigen. Eine unbemerkte Verbreitung würde somit eingedämmt werden und wenn Software-Entwickler in dieser Zeit keinen Patch anbieten können, könnten sie zumindest Hinweise geben, wie man eine Ausnutzung verhindern kann.

(Bildquelle: Shutterstock, Hacker typing on a laptop with binary code in background)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

*Mitglied der Redaktion 2013 bis 2019*

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

9 Kommentare

  1. Der wahre Grund für dieses Vorgehen von Google dürfte mit „J“ anfangen und mit „ava“ enden. Die haben sich in der letzten Zeit nicht sonderlich mit Ruhm bekleckert

  2. Wie genau darf man sich diese Publikation vorstellen? Aufnahme in die Google Suche?

  3. Wem will Google nur noch 7 Tage Zeit geben? Seinen Entwicklern, den AppStore-Entwicklern oder einfach anderen Entwicklern? Wo wollen sie das publizieren? In der Google-Suche?
    Ist irgendwie nicht so schön eingeleitet dieser Artikel.

  4. :-DDD „in der google suche“

  5. Ein Teaser auf der Google-Startseite am siebten Tag… Das müsste schon irre viel Druck machen… aber auch so an sich die beste Methode so etwas zu verhindern. Mach ich bei Bugs genau so – zuletzt bei Spotify – erst mit Lösungsvorschlag anschreiben, dann ein paar Wochen später ohne Lösungsweg (garantiert nicht im eigenen Blog) publizieren… hilft meist… – und Geld brauch ich dafür nicht – gerade wenn ich nur zufällig über so etwas stoße…

  6. @Konstantin
    Wie schreibst du die denn mit Lösungsvorschlag an? -Das sind doch meistens Geschichten die im Quellcode des jeweiligen Programms verborgen liegen

  7. Sorry, aber wieder mal einige falsche Informationen. Es geht hier nur um Sicherheitslücken, die schon ausgenutzt werden, also bestimmten Personen eh schon bekannt sind.

  8. @laderio
    Man kann davon ausgehen, dass die meisten Sicherheitslücken „betimmten Personen“ bekannt sind.. Es geht um Zero-Day-Threats (bisher nicht offiziell veröffentlichte Sicherheitslücken);-)

  9. Sascha Ostermaier says:

    @laderio: Gelesen? „Google sieht es so, dass aktiv ausgenutzte, aber nicht öffentlich kommunizierte Sicherheitslücken in vielen Fällen eine Gefahr darstellen, zum Beispiel bei Aktivisten, die in bestimmten Ländern sogar um ihr Leben fürchten müssen.“

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.