Project Zero: Google definiert 90 Tage-Frist genauer

90 Tage, das ist der bislang von Google gewählte Zeitraum zwischen der Meldung einer Sicherheitslücke bei einem Hersteller und deren Offenlegung im Netz. In eine hitzige Diskussion kamen eben jene 90 Tage, da Google Sicherheitslücken veröffentlicht hat, die Microsoft in der gesetzten Frist nicht schließen konnte. Bei Google Security Research wurde zwischenzeitlich diskutiert, ob man eine solche Lücke, die Millionen von Nutzern betrifft, tatsächlich öffentlich machen sollte.

Google Office

Diese Diskussion gab es bereits, als Google die 90-Tage-Frist einführte. Nach der ganzen Diskussion gibt es nun Neues aus dem Hause Google. So hält man zwar weiterhin generell an der 90 Tage-Regelung fest, wird aber keine Sicherheitslücken veröffentlichen, wenn die 90 Tage-Frist an einem Tag am Wochenende oder während der Feiertage abgelaufen ist.

Weiterhin gibt es eine 14 Tage-Gnadenfrist.

Lässt der betreffende Hersteller das Sicherheitsteam von Google wissen, dass man bereits an einem Patch arbeitet, kann diesen aber nicht in der Frist fertigstellen, dann gibt es noch einmal 14 Tage oben drauf. Heißt: Rührt sich der Hersteller mit seiner Sicherheitslücke nicht, dann wird diese nach 90 Tagen offengelegt – ansonsten hat er noch weitere 14 Tage Zeit.

Google teilt mit, dass diese Richtlinien für alle gleich sind, auch für Produkte, die Google betreffen – Chrome oder Android beispielsweise. Aber es heißt auch, dass man sich das Recht vorbehalte, diese Fristen nach vorne oder hinten zu schieben, wenn es die Umstände erfordern.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

7 Kommentare

  1. Was fürn Kindergarten, die Windows User wissen es eh nicht zu schätzen. Wenn das nicht alles Virenschleuern werden würden, könnte es einem fast egal sein.

  2. @snap: Was für ein Kindergarten ist denn dein Kommentar. Nur Rumgepöbel und falsche Behauptungen.

  3. Ein Unternehmen wie Microsoft mit einer Armada von Angestellten sollte eigentlich in der Lage sein, eine Sicherheitslücke innerhalb von 90 Tagen zu schließen.
    In der Zeit ist es ja nicht nur Google möglich, Lücken zu entdecken. Die „bösen“ Hacker sind ja nicht inaktiv. Die veröffentlichen Probleme allerdings nicht, sondern nutzen sie gleich aus.
    Warum Microsoft auch immer noch an dem Patchday festhält, ist mir unerklärlich. Wenn ein Update fertig ist, kann es raus. Warum noch bis zu einem Monat warten? Wobei die Frist von Google ja sogar drei Monate beträgt 😀

  4. „Armada von Angestellten“… ja glaubst du denn, da kann jeder mal eben die Aufgabe des anderen übernehmen? Bei Microsoft wird das kaum anders sein als bei anderen komplexen Projekten oder Herstellern – du wirst wahrscheinlich selten mehr als Gruppen von 3-5 Leuten finden, die einzelnen Funktionen/Segmenten und was auch immer zugeordnet sind. Alles andere wäre auch nicht wirklich effektiv. Und die spielen fleissig „Jenga“ mit anderen Gruppen – was der eine umbaut, muss der andere dann nachbasteln. Jaja, wenn man alles auf der grünen Wiese aufbauen würde, dann wäre für ca. 1 Minute alles ok – und dann kommen die Ausnahmen. Windows ist wie viele andere Entwicklungen auch eine gewachsenes System – mit all den Häßlichkeiten, die sowas mit sich bringt (Kompatibiltät o.ä.). Es gibt mit Sicherheit Fehler, die die einfach „verbummeln“, weil er ihnen nicht wichtig genug ist – aber auch andere Dinge, die wirst du in ihrer Komplexität eben nicht in 90 Tagen lösen. Und einen Fehler zu finden heisst auch nicht automatisch, dass ein Entwickler sofort eine Lösung weiss, oder eine Lösung dann x Tage später beim Test eines anderen Moduls umfällt.

  5. @MVSde Microsoft bringt wirklich kritische Sicherheitsupdates auch außerhalb des Patchdays raus, kommt ab und zu auch vor.

  6. @zhet, wer keine komplexe Software (wie Windows) schreibt, sollte lieber die Klappe, und sich nicht den Mund über Microsoft zerreißen. Mit Klappe halten bist nicht du gemeint, sondern solche wie MVSde. Die bestimmt noch nie an der Entwicklung von komplexen Systeme beteiligt waren.

  7. @gast,

    Naja, MS will ja eine kleine Stange Geld für sein OS und mir als Kunde sollte es „latte“ sein was, wieso, weshalb… Wenn die ein „fehlerhaftes“ Produkt am Markt haben sollte das eigentlich deren Problem sein. Wenn das Produkt zu komplex ist als dass es mit gegenwärtigen Ressourcen vernünftig gemanaged werden kann dann müssen sie halt die Ressourcen anpassen. Kaufe ich mir ein Auto welches über das gesamte Modell Probleme an den Bremsanlagen hat, fände ich die Aussage:“ Naja ein Auto ist ja auch so komplex, da kann das mal passieren und man muss denen dann auch genügend Zeit geben und…“ wohl auch ziemlich daneben oder?
    Zusammengefasst aus Kundensicht:
    1. Das ist das Problem des Herstellers
    2. mir ist egal wie sie das Problem beheben
    3. mir ist Egal wo bei der Behebung die Probleme liegen
    4. ich erwarte dass das Problem behoben wird

    Ob es sich dabei jetzt um MS handlet oder um sonstwen ist dabei egal.