Backup & Security / Google

Sicherheit: Google Project Zero testet neue Richtlinien

Avatar-Fotovon | Kommentare deaktiviert

Die Regeln für Googles Project Zero sind vielen bekannt. Werden Sicherheitslücken gefunden, so werden diese vertraulich gemeldet. Die betroffenen Unternehmen haben dann 90 Tage Zeit, diese Lücken zu flicken und Patches zu verteilen. Geschieht dies nicht, so wird die Lücke offengelegt. Lief aber auch nicht immer ganz rund, wie die Vergangenheit zeigte, vorzeitiges Bekanntgeben von Lücken, halbherzige Fixes und andere Probleme gab es da in der Vergangenheit. Nun hat man sich für leicht geänderte Richtlinien entschlossen.

Nun wird Google 90 Tage warten, um einen Fehler offenzulegen, auch wenn dieser vor Fristende behoben wurde. Bedeutet: Wer schnell handelt, der kann flott Lücken und Fehler fixen und hat noch Zeit, um auch zu testen, dass alles korrekt arbeitet. Aber das war noch nicht alles. Auf der anderen Seite werden die Daumenschrauben aber auch angezogen. Unvollständige Fixes werden demnach vom Project Zero an den Entwickler gemeldet und dem bestehenden Berichten hinzugefügt. Bedeutet: kein neuer Bericht, nicht wieder 90 Tage Zeit. Immerhin: Es gibt noch eine Nachfrist.

Die Nachfrist beträgt weitere 14 Tage, die ein Anbieter beantragen kann, wenn er nicht damit rechnet, dass eine gemeldete Schwachstelle innerhalb von 90 Tagen behoben wird, sondern innerhalb von 104 Tagen. Wenn eine Karenzzeit beantragt wird und ein Fehler zwischen 90 und 104 Tagen nach der Meldung behoben wird, werden die Fehlerdetails am Tag der Behebung des Fehlers veröffentlicht. Für Schwachstellen, deren Behebung voraussichtlich länger als 104 Tage dauern wird, werden keine Gnadenfristen gewährt.

Dies alles will man so im Jahr 2020 testen, wie die Übersicht zeigt. Unberührt davon bleibt übrigens die 7-Tage-Frist bei Sicherheitslücken, von denen bekannt ist, dass sie bereits ausgenutzt werden. Google teilt mit, dass diese Richtlinien für alle gleich sind, auch für Produkte, die Google betreffen – Chrome oder Android beispielsweise. Falls das ein Thema für euch ist, schaut selber bei Google rum.

2019
2020 Trial
  1. 90 days or when the bug is fixed (decided by researcher discretion), whichever is the earliest.
  1. Full 90 days, regardless of when the bug is fixed. Earlier disclosure with mutual agreement.
  1. Policy goal:
    • Faster patch development
  1. Policy goals:
    • Faster patch development
    • Thorough patch development
    • Improved patch adoption
  1. Inconsistent handling of incomplete fixes. Such issues are either filed as separate vulnerabilities or added to existing reports at researcher discretion.
  1. Details of incomplete fixes will be reported to the vendor and added to the existing report (which may already be public) and will not receive a new deadline.
  1. Bugs fixed in the grace period* would be opened to the public sometime after a patch was released.
  1. Project Zero tracker reports are immediately opened when patched during the grace period*.
  1. Project Zero tracker reports are opened at researcher discretion after the deadline expires.
  1. Project Zero tracker reports are opened automatically on Day 90 (or earlier under mutual agreement).

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.

Umfrage des Monats

Günstig mit Werbung streamen oder Aufpreis zahlen?

View Results

Wird geladen ... Wird geladen ...

Anzeige