Hersteller müssen Sicherheitslücken künftig schneller schließen

Das Bummeln beim Bereitstellen von Patches dürfte für viele Hersteller nun ein Ende haben: Nachdem Google den Software-Herstellern zum Patchen von Sicherheitslücken ab Benachrichtigung nur noch 60 Tage Zeit geben will, limitiert der zu Hewlett Packard respektive TippingPoint gehörende Schwachstellen-Broker Zero Day Initiative (ZDI) bereits ab heute den Zeitraum für das Entwickeln von Sicherheits-Updates auf sechs Monate. Dann werden die Informationen über die Lücke veröffentlicht. Allerdings will ZDI in bestimmten Fällen eine Verlängerung des Zeitraums gewähren.

ZDI hatte bislang gar keine Limits und gewährte den Herstellern nach der Benachrichtigung über eine Lücke einen beliebigen Zeitraum zur Entwicklung von Patches. Informationen über Lücken wurden von ZDI erst dann veröffentlicht, wenn der Patch verteilt wurde. Die führte zu einer beeindruckenden Liste ausstehender Patches der größten Hersteller, darunter Apple, IBM, Microsoft und Symantec. IBM beispielsweise scheint seit mehr als drei Jahren keinen Finger zu rühren, um eine gemeldete, kritische Lücke zu schließen. Witzigerweise findet sich auch Hewlett Packard mehrfach in der Liste.

ZDI begründet den Schritt damit, dass längere Zeiträume Anwender unnötig in Gefahr brächten. Das Argument, dass man Kriminelle erst durch die Veröffentlichung von Informationen auf die Lücke brächte, gelte mittlerweile nicht mehr. Immer häufiger registriere man sich überschneidende Entdeckungen unabhängiger Sicherheitsspezialisten bei Schwachstellen, die ihre Informatinen an ZDI verkaufen. Das lasse den Schluss zu, dass auch andere (Exploit-Programmierer) bereits Informationen über die Lücken besitzen.

Ähnlich hatte zuletzt auch Tavis Ormandy von Googles Sicherheitsteam argumentiert, nachdem er für seine Veröffentlichung der Helpcenter-Lücke in Windows viel Kritik einstecken musste. Ormandy hatte die Infos veröffentlicht, nachdem Microsoft nicht zusagen wollte, die Lücke innerhalb von 60 Tagen zu schließen. Nachdem die Katze aus dem Sack war, schaffte Microsoft es dann aber immerhin, einen Patch nach 34 Tagen bereitzustellen.

Der Metasploit-Erfinder HD. Moore wies bereits Anfang des Jahres darauf hin, dass "Softwarehersteller einen Fix für die vom Forscher entdeckte Lücke nie in der Zeit fertigstellen, die sie ursprünglich veranschlagen. Ganz egal, ob 30, 60, 90 oder 120 Tage, die Termine werden nie gehalten." Wenn aber plötzlich Exploitcode in einem Forum auftauche, sei der Fix binnen 10 Tagen fertig.

Das US-CERT, das unter anderem auch Warnhinweise für Behörden herausgibt, ist sogar noch strenger als ZDI und Google. Bereits nach 45 Tagen veröffentlicht die zentrale Warnstelle ihre Fehlerbescheibungen, unabhängig davon, ob es nun einen Patch gibt oder nicht. "Mildernde Umstände", die zur Verlängerung führen, gelten nur in besonderen Fällen. Die Sicherheitsdienstleister VUPEN und Immunity verfolgen hingegen den umgekehrten Ansatz: Sie informieren die Hersteller gar nicht.

(dab)