Project Zero testet ein neues Modell zur Offenlegung von Schwachstellen, das OEMs mehr Zeit gibt, Patches für betroffene Benutzer bereitzustellen.
Das Project Zero-Team von Google kündigt einige große Änderungen bei der Offenlegung von Sicherheitslücken an die Öffentlichkeit an. Seit seiner Einführung hat Project Zero eine strenge Offenlegungsfrist von 90 Tagen eingehalten. Dies bedeutet, dass Project Zero dies tun wird, wenn eine Schwachstelle gefunden wird Warten Sie 90 Tage, bevor Sie es öffentlich dokumentieren die technischen Details. Dadurch können Anbieter den Fehler in ihrer Software beheben, bevor Angreifer ihn ausnutzen können.
Project Zero ist jetzt ein neues Modell testen Für 2021 wird den OEMs ein zusätzlicher Monat gewährt, um Patches für die betroffenen Benutzer bereitzustellen. Früher erfolgte die technische Dokumentation einer Schwachstelle bereits nach Ablauf der 90-Tage-Frist – unabhängig davon, ob ein Patch veröffentlicht wurde oder nicht. Wenn im neuen Modell ein OEM das Problem innerhalb der 90-Tage-Frist behebt, erfolgt die technische Dokumentation 30 Tage nach der Behebung.
Laut Google zielt die neue 90+30-Richtlinie darauf ab, die Patch-Einführung zu einem expliziten Teil des Offenlegungsprogramms zu machen. Anbieter haben 90 Tage Zeit, um den Patch zu entwickeln, und 30 Tage, um den Fix für ihre Benutzer bereitzustellen.
"Durch die Umstellung auf ein „90+30“-Modell können wir die Patch-Zeit von der Patch-Einführungszeit entkoppeln und so die umstrittene Debatte reduzieren Kompromisse zwischen Angreifer und Verteidiger und die Weitergabe technischer Details, während gleichzeitig dafür plädiert wird, die Zeitspanne zu verkürzen, in der Endbenutzer angreifbar sind zu bekannten Angriffen,"sagte Project Zero-Manager Tim Willis in einem Blogbeitrag.
Offene Schwachstellen, die aktiv ausgenutzt werden, unterliegen weiterhin einer 7-tägigen Offenlegungsfrist. Wenn ein Problem jedoch innerhalb von sieben Tagen behoben wird, veröffentlicht Google die technischen Details 30 Tage nach der Behebung. Früher veröffentlichte Google die Details am siebten Tag, unabhängig davon, wann das Problem behoben wurde. Darüber hinaus können Anbieter jetzt auch eine dreitägige Kulanzfrist für Schwachstellen dieser Art beantragen, die zuvor nicht angeboten wurde.
Das Project Zero-Team erkennt an, dass diese neue Richtlinie einen leichten Rückschritt gegenüber ihrer früheren Haltung darstellt, die der schnellen Veröffentlichung technischer Details an die Öffentlichkeit Priorität einräumte. Das Team stellt jedoch fest, dass diese lockere Politik nicht allzu lange anhalten wird, da sie versuchen werden, die Offenlegungsfrist in naher Zukunft zu verkürzen. Das Team deutete an, dass sie für 2022 wahrscheinlich auf ein 84+28-Modell umsteigen würden.