Das Project Zero-Sicherheitsteam von Google wird nun die gesamten 90 Tage abwarten, bevor es entdeckte Schwachstellen offenlegt.
Project Zero ist eine Sicherheitsabteilung von Google 2014 gegründet. Die Hauptaufgabe des Teams besteht darin, Zero-Day-Schwachstellen zu entdecken, d. „Heartbleed“ ist ein solcher Zero-Day-Exploit, was von zwei separaten Sicherheitsteams privat an OpenSSL gemeldet wurde. Eines dieser Sicherheitsteams operierte unter Google und führte schließlich zur Gründung von Project Zero. Der Fehler wurde im April 2014 entdeckt. Einige Tage später wurde eine OpenSSL-Version mit behobenem Fehler veröffentlicht, zusammen mit der vollständigen Offenlegung des Fehlers. Diese vollständige Offenlegung bedeutete, dass Systeme, die nicht sofort aktualisiert wurden, gefährdet waren, obwohl dies im Allgemeinen als Motivation für Entwicklerteams dient, ihre Software zu aktualisieren.
Seitdem funktioniert Googles Project Zero auf ähnliche Weise. Wenn ein Zero-Day-Fehler entdeckt wird, meldet das Team ihn vertraulich dem Unternehmen, dem die Software gehört. Ab dem Datum der Offenlegung hat das Unternehmen 90 Tage Zeit, den Fehler zu beheben. Wenn das Problem vor Ablauf des 90-Tage-Fensters behoben wird, wird Google Einzelheiten zur Sicherheitslücke veröffentlichen. Wenn die 90 Tage vergehen, ohne dass das Problem behoben wird, wird das Team die Schwachstelle trotzdem veröffentlichen, was beabsichtigt ist Benutzer sind sich der Probleme bewusst, die die von ihnen verwendete Software haben kann, und motivieren möglicherweise auch das Unternehmen zur Arbeit Schneller. Es gibt einen Fehler, den die Anbieter bei diesem System erkennen, und genau wie bei Heartbleed ist es, dass die Benutzer (oder Entwickler) sind möglicherweise nicht in der Lage, ihre Systeme schnell genug zu aktualisieren, bevor sie Opfer werden Ausbeutung. Aus diesem Grund hat das Project Zero-Team angekündigt, dass sie in diesem Jahr versuchsweise die 90 Tage abwarten, unabhängig davon, wie schnell (oder langsam) die Schwachstelle behoben wird.
Die Richtlinie von Google, Fehler innerhalb von sieben Tagen offenzulegen, wenn Beweise dafür gefunden werden, dass der Fehler in freier Wildbahn ausgenutzt wird, bleibt davon unberührt. Im selben Blogbeitrag hat das Project Zero-Team auch eine Reihe weiterer kleiner Änderungen angekündigt. Google ist außerdem stolz, bekannt geben zu können, dass 97,7 % aller entdeckten Probleme innerhalb des 90-Tage-Fensters behoben werden. Den vollständigen Blogbeitrag können Sie unten lesen.
Quelle: Google Project Zero