Project Zero: Google hält Lücken nach Streit mit Microsoft länger geheim
Google wird Sicherheitslücken in Software anderer Unternehmen künftig unter Umständen erst später öffentlich machen und auf einen geplanten Veröffentlichungstermin des entsprechenden Softwareupdates Rücksicht nehmen. Der Internetkonzern reagiert damit auf die heftige Kritik durch Microsoft im Januar dieses Jahres.
Google hat seine Veröffentlichungspolitik in Bezug auf Sicherheitslücken in Programmen anderer Unternehmen angepasst, wie Chris Evans vom Project Zero in einem Blogeintrag verkündet. Unternehmen bietet sich somit zusätzlich zur 90-tägigen Geheimhaltungsfrist eine Gnadenfrist von vierzehn Tagen, wenn die Unternehmen Google über einen geplanten Patch unterrichten. Zudem wird das Ende der Fristen nach hinten verschoben, wenn dieses auf ein Wochenende oder auf einen gesetzlichen Feiertag fällt. Weiterhin wird Google in Zukunft den Industriestandard Common Vulnerabilities and Exposures (CVE) nutzten, um Sicherheitslücken eindeutig durch die Mitre Corporation bereits vor Veröffentlichung zu benennen. Mit einer Geheimhaltungsfrist von 90 Tagen befindet sich Google durchaus im Mittelfeld: Das Computer Emergency Response Team der Carnegie Mellon University bringt Sicherheitslücken schon nach 45 Tagen an die Öffentlichkeit, die Zero Day Initiative veröffentlicht diese hingegen erst nach 120 Tagen.
Die vierzehntägige Gnadenfrist hätte im Januar 2015 einigen Streit zwischen Google und Microsoft verhindern können: Google gab nach Ablauf der 90 Tage langen Geheimhaltungsfrist Informationen über eine Sicherheitslücke in Windows 8.1 an die Öffentlichkeit, obwohl Microsoft darum bat, die Lücke erst zwei Tage später nach der Veröffentlichung des Patches zu veröffentlichen. Google argumentierte, dass die Frist für ausnahmslos alle Produkte und Unternehmen gelte.
Gleichzeitig gibt Google im Blogeintrag einige Zahlen über das Project Zero bekannt. So führt Adobe mit 37 durch Google gefundene Sicherheitslücken die Liste zahlenmäßig an – schloss alle Lücken allerdings innerhalb der 90-Tage-Frist. Von allen bisher 154 von Google entdeckten und durch das betroffene Unternehmen geschlossenen Sicherheitslücken passierte dies in 95 Prozent der Fälle innerhalb der 90 Tage dauernden Geheimhaltungsfrist.