Das Project Zero von Google dürfen viele von euch kennen. Ganz allgemein beschrieben: Wird eine Sicherheitslücke erkannt, wird der Ersteller oder das Team informiert. Dann hat man 90 Tage Zeit diese Sicherheitslücke zu schließen.
Wird die Sicherheitslücke nicht geschlossen, werden die technischen Details dazu veröffentlicht. Wird die Sicherheitslücke geschlossen, so wird der Bericht dazu dann auch veröffentlicht. Wobei hier eine 14-tägige Gnadenfrist ist erlaubt ist. Und hier korrigiert das Project Zero Team von Google die Richtlinien aus dem Jahr 2020.
Wenn eine Sicherheitslücke geschlossen wurde, werden die Details dazu ab jetzt erst 30 Tage später veröffentlicht. Damit will man den Nutzern der Apps, Programme oder Betriebssysteme die Zeit geben, die Updates auch zu installieren. Im Prinzip wie wir es schon von den Google Chrome Sicherheitsupdates kennen. Man stellt zwar die Überschrift zur Lücke bereit, wartet aber noch eine Weile, bis die meisten Nutzer auf die neue Google Chrome Version upgedatet haben, bevor dann die technischen Details bekannt gegeben werden.
Wenn eine Schwachstelle schon „In-the-wild“, also im Netz verfügbar und diese innerhalb von 7 Tagen behoben wurde, hatte man bislang die technischen Details auch gleich dazu veröffentlicht. Auch hier wird man die Beschreibung dann erst 30 Tage danach veröffentlichen.
Wie ich finde eine gute Entscheidung vom Google-Team. Denn nicht jeder aktualisiert seine Software sofort. Da ist die neue Regelung mit den 30 Tagen Verzögerung, die seit dem 16.April 2021 in Kraft positiv anzusehen. Wer sich die komplette Änderung einmal durchlesen möchte, findet den Beitrag auf dieser Seite.
Also zuckerfrei 😆
Wie Coke Zero 😂
sehr gut!
Das ist sehr sinnvoll.