Google wird Sicherheitslücken künftig früher bekannt machen

60 Tage, das ist Googles Zeitspanne, die Software-Entwickler bisher Zeit hatten, um unbekannte Sicherheitslücken zu schließen. Das heißt, dass die Lücke nicht öffentlich bekannt ist, bis der entsprechende Hersteller, der natürlich informiert wird, diese geschlossen hat.

shutterstock_135704441
Google findet diese Zeitspanne nun zu lange und wird in Zukunft nur noch 7 Tage bis zur Publikation Zeit geben. Das heißt, das ein gewisser Druck auf die Entwickler ausgeübt wird, die Lücke schneller zu schließen. Wird nun beispielsweise eine Lücke im Internet Explorer entdeckt, erhält Microsoft heute darüber Bescheid und muss zusehen, wie die Lücke bis nächste Woche geschlossen wird. Ist die Lücke bekannt, bevor sie geschlossen wurde, stehen der dunklen Seite des Internets alle Türen offen, um diese auszunutzen.

[werbung] Natürlich ist es gut, wenn Risiken schneller behoben werden, aber was ist, wenn dies eben nicht in den 7 Tagen möglich ist? Google sieht es so, dass aktiv ausgenutzte, aber nicht öffentlich kommunizierte Sicherheitslücken in vielen Fällen eine Gefahr darstellen, zum Beispiel bei Aktivisten, die in bestimmten Ländern sogar um ihr Leben fürchten müssen. Eine schnellere Bekanntmachung würde zwar das Problem nicht beheben, aber den Vorgang eines Patches beschleunigen. Eine unbemerkte Verbreitung würde somit eingedämmt werden und wenn Software-Entwickler in dieser Zeit keinen Patch anbieten können, könnten sie zumindest Hinweise geben, wie man eine Ausnutzung verhindern kann.

(Bildquelle: Shutterstock, Hacker typing on a laptop with binary code in background)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

9 Kommentare

  1. Der wahre Grund für dieses Vorgehen von Google dürfte mit „J“ anfangen und mit „ava“ enden. Die haben sich in der letzten Zeit nicht sonderlich mit Ruhm bekleckert

  2. Wie genau darf man sich diese Publikation vorstellen? Aufnahme in die Google Suche?

  3. Wem will Google nur noch 7 Tage Zeit geben? Seinen Entwicklern, den AppStore-Entwicklern oder einfach anderen Entwicklern? Wo wollen sie das publizieren? In der Google-Suche?
    Ist irgendwie nicht so schön eingeleitet dieser Artikel.

  4. :-DDD „in der google suche“

  5. Ein Teaser auf der Google-Startseite am siebten Tag… Das müsste schon irre viel Druck machen… aber auch so an sich die beste Methode so etwas zu verhindern. Mach ich bei Bugs genau so – zuletzt bei Spotify – erst mit Lösungsvorschlag anschreiben, dann ein paar Wochen später ohne Lösungsweg (garantiert nicht im eigenen Blog) publizieren… hilft meist… – und Geld brauch ich dafür nicht – gerade wenn ich nur zufällig über so etwas stoße…

  6. @Konstantin
    Wie schreibst du die denn mit Lösungsvorschlag an? -Das sind doch meistens Geschichten die im Quellcode des jeweiligen Programms verborgen liegen

  7. Sorry, aber wieder mal einige falsche Informationen. Es geht hier nur um Sicherheitslücken, die schon ausgenutzt werden, also bestimmten Personen eh schon bekannt sind.

  8. @laderio
    Man kann davon ausgehen, dass die meisten Sicherheitslücken „betimmten Personen“ bekannt sind.. Es geht um Zero-Day-Threats (bisher nicht offiziell veröffentlichte Sicherheitslücken);-)

  9. Sascha Ostermaier says:

    @laderio: Gelesen? „Google sieht es so, dass aktiv ausgenutzte, aber nicht öffentlich kommunizierte Sicherheitslücken in vielen Fällen eine Gefahr darstellen, zum Beispiel bei Aktivisten, die in bestimmten Ländern sogar um ihr Leben fürchten müssen.“

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.