Google übt Druck aus

Google hat in einem Blogeintrag bekanntgegeben, dass sie Sicherheitslücken in der Software anderer Hersteller schneller publik machen werden. Wenn Sicherheitslücken aktiv ausgenutzt werden, wird Google diese zukünftig bereits nach sieben, statt wie bisher nach 60 Tagen veröffentlichen. Auch dann, wenn der Hersteller diese noch nicht geschlossen hat, oder wenigstens Empfehlungen zur Umgehung abgeben kann.  

Googles Sicherheitsforscher schreiben weiter, dass unbekannte und nicht geschlossene Lücken, sogenannte Zero-Day-Sicherheitslücken, aktiv und gezielt ausgenützt werden. Somit seien 60 Tage zu lange bis das Problem publik gemacht wird. Sie weisen darauf hin, dass vor allem politische Aktivisten ein beliebtes Ziel seien, deren Sicherheit real gefährdet sein könne, wenn ihre Systeme angegriffen werden.

Wenig Zeit

Sieben Tage sind eine kurze Zeit, um solche Lücken zu schliessen. Die Software müsse schliesslich auch getestet werden. Laut Googles Blogeintrag sei dies aber genug Zeit um den Anwendern einen Vorschlag zur Umgehung des Problems oder Empfehlungen zur Deaktivierung einzelner Dienste zu geben. Falls nach dieser Wochenfrist keine Schritte unternommen werden, wird Google selbst Details bekannt geben, welche Schritte die Anwender unternehmen können, um sich zu schützen, heisst es weiter.

Implizierte Kritik

Mit dieser Fristverkürzung wird auch implizit Kritik an Microsoft und anderen Softwareherstellern ausgesprochen, wie die Onlinezeitschrift Golem.de bemerkt. Microsoft veröffentliche in den meisten Fällen seine Sicherheitsupdates nur monatlich, Oracle sogar nur quartalsweise. Googles verkürzte Frist sei schwer einzuhalten, und so müsse wohl damit gerechnet werden, dass von Google entdeckte Sicherheitslücken veröffentlicht werden, bevor eine Lösung dafür parat stehe.