90-Tage-Frist: Googles Sicherheitsteam lässt Gnade walten

Google hat seine Richtlinien zur Offenlegung von Sicherheitslücken etwas abgemildert, nachdem das Unternehmen dieses Jahr mehrfach Zero-Day-Lücken in Windows und Mac OS X verraten hatte. Bislang hatten Hersteller 90 Tage Zeit, um eine durch Googles Sicherheitsteam Project Zero gemeldete Schwachstelle zu schließen – und nicht einen Tag mehr. Das führte dazu, dass Google im Januar eine Windows-Lücke zwei Tage vor dem monatlichen Microsoft-Patchday öffentlich machte, obwohl das Unternehmen von Microsofts Plänen wusste, die Lücke an diesem Tag zu schließen.

Zukünftig räumt Google den betroffenen Herstellern weitere 14 Tage Schonfrist ein, wenn sie ankündigen, bis zum Ablauf dieser Zeit einen Patch zu veröffentlichen. Fällt das Ablaufen der Frist auf ein Wochenende oder einen Feiertag, wird sie bis zum nächsten Werktag ausgedehnt. Des Weiteren will Google sicherstellen, dass den Lücken eine CVE-Nummer zugewiesen wurde, ehe Details veröffentlicht werden. Bei CVE-Nummern handelt es sich um einzigartige Bezeichner für Sicherheitslücken.

Die abgemilderten Richtlinien will Google ab sofort auch außerhalb von Project Zero anwenden. Wann immer ein Google-Mitarbeiter eine Sicherheitslücke entdeckt, gelten die oben genannten Bedingungen für den jeweiligen Hersteller. Dabei macht das Unternehmen nach eigenen Angaben auch im eigenen Haus keine Ausnahme: Project Zero soll auch Lücken in Google Chrome und Android entdeckt haben, für welche die Schonfrist mit allen Konsequenzen gilt. (rei)