zurück zum Artikel

Wenn Google auf eine Schwachstelle stößt, die bereits aktiv für Cyber-Angriffe ausgenutzt wird, soll diese innerhalb von sieben Tagen geschlossen werden. Ansonsten werden die Details zur Lücke veröffentlicht.

Google macht mit Anbietern verwundbarer Software und Webdienste künftig kurzen Prozess, wenn Gefahr im Verzug ist: Stößt das Sicherheitsteam von Google auf eine Zero-Day-Lücke, die bereits aktiv für Cyber-Angriffe ausgenutzt wird, räumt es dem betroffenen Hersteller fortan nur noch eine Schonfrist von einer Woche ein [1], um die Lücke zu schließen.

Nach Ablauf der sieben Tage will Google die Details zur Schwachstelle im Sinne einer Responsible Disclosure veröffentlichen, damit sich die Nutzer der verwundbaren Programmen vor den Angriffen schützen können. Bislang hat der Suchmaschinenriese 60 Tage gewartet, ehe er mit den Details an die Öffentlichkeit gegangen ist. Wenn der betroffene Hersteller so kurzfristig keinen Patch anbieten kann, soll er nach dem Willen von Google zumindest ein Advisory veröffentlichen, das Workarounds zum Abdichten der Lücke enthält.

Google spricht bei der Sieben-Tage-Frist selbst von einem "aggressiven Zeitrahmen". Ziel der Verkürzung sei es, das Netz sicherer zu machen und auch die Koordination gemeldeter Schwachstellen zu verbessern. Das Sicherheitsteam erklärt, dass man sich auch bei Google an diese Vorgaben halte und Sicherheitsforscher dazu animiere, Sicherheitslücken, die bereits für Cyber-Angriffe missbraucht werden, nach einer Woche zu publizieren. (rei [2])

URL dieses Artikels:
https://www.heise.de/-1873727

Links in diesem Artikel:
[1] http://googleonlinesecurity.blogspot.de/2013/05/disclosure-timeline-for-vulnerabilities.html
[2] mailto:rei@heise.de

Copyright © 2013 Heise Medien