Sicherheit: Google Project Zero testet neue Richtlinien

Die Regeln für Googles Project Zero sind vielen bekannt. Werden Sicherheitslücken gefunden, so werden diese vertraulich gemeldet. Die betroffenen Unternehmen haben dann 90 Tage Zeit, diese Lücken zu flicken und Patches zu verteilen. Geschieht dies nicht, so wird die Lücke offengelegt. Lief aber auch nicht immer ganz rund, wie die Vergangenheit zeigte, vorzeitiges Bekanntgeben von Lücken, halbherzige Fixes und andere Probleme gab es da in der Vergangenheit. Nun hat man sich für leicht geänderte Richtlinien entschlossen.

Nun wird Google 90 Tage warten, um einen Fehler offenzulegen, auch wenn dieser vor Fristende behoben wurde. Bedeutet: Wer schnell handelt, der kann flott Lücken und Fehler fixen und hat noch Zeit, um auch zu testen, dass alles korrekt arbeitet. Aber das war noch nicht alles. Auf der anderen Seite werden die Daumenschrauben aber auch angezogen. Unvollständige Fixes werden demnach vom Project Zero an den Entwickler gemeldet und dem bestehenden Berichten hinzugefügt. Bedeutet: kein neuer Bericht, nicht wieder 90 Tage Zeit. Immerhin: Es gibt noch eine Nachfrist.

Die Nachfrist beträgt weitere 14 Tage, die ein Anbieter beantragen kann, wenn er nicht damit rechnet, dass eine gemeldete Schwachstelle innerhalb von 90 Tagen behoben wird, sondern innerhalb von 104 Tagen. Wenn eine Karenzzeit beantragt wird und ein Fehler zwischen 90 und 104 Tagen nach der Meldung behoben wird, werden die Fehlerdetails am Tag der Behebung des Fehlers veröffentlicht. Für Schwachstellen, deren Behebung voraussichtlich länger als 104 Tage dauern wird, werden keine Gnadenfristen gewährt.

Dies alles will man so im Jahr 2020 testen, wie die Übersicht zeigt. Unberührt davon bleibt übrigens die 7-Tage-Frist bei Sicherheitslücken, von denen bekannt ist, dass sie bereits ausgenutzt werden. Google teilt mit, dass diese Richtlinien für alle gleich sind, auch für Produkte, die Google betreffen – Chrome oder Android beispielsweise. Falls das ein Thema für euch ist, schaut selber bei Google rum.

2019
2020 Trial
  1. 90 days or when the bug is fixed (decided by researcher discretion), whichever is the earliest.
  1. Full 90 days, regardless of when the bug is fixed. Earlier disclosure with mutual agreement.
  1. Policy goal:
    • Faster patch development
  1. Policy goals:
    • Faster patch development
    • Thorough patch development
    • Improved patch adoption
  1. Inconsistent handling of incomplete fixes. Such issues are either filed as separate vulnerabilities or added to existing reports at researcher discretion.
  1. Details of incomplete fixes will be reported to the vendor and added to the existing report (which may already be public) and will not receive a new deadline.
  1. Bugs fixed in the grace period* would be opened to the public sometime after a patch was released.
  1. Project Zero tracker reports are immediately opened when patched during the grace period*.
  1. Project Zero tracker reports are opened at researcher discretion after the deadline expires.
  1. Project Zero tracker reports are opened automatically on Day 90 (or earlier under mutual agreement).

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.