Sicherheitslücken: Googles Projekt Zero mit neuen Meldefristen

- 19. April 2021

Google hat die Meldeverfahren für sein Projekt Zero geändert, das sich mit dem Auffinden von Sicherheitslücken befasst. Ab sofort gelten andere Fristen für die Information der Öffentlichkeit über technische Details zu Sicherheitslücken.

Das Ziel von Googles Project Zero ist das Auffinden von Zero-Day-Sicherheitslücken in Hardware- und Softwaresystemen. Gegründet im Jahr 2014 sind die Google-Security-Experten damit beschäftigt, unter anderem auch die eigenen Softwareangebote nach Lücken abzuklopfen. Zu den Prüfkandidaten zählen die Forscher Webbrowser wie Chrome, Open-Source-Bibliotheken aber auch mobile Betriebssysteme wie das hauseigene Android-System. Dadurch soll sich weltweit die Sicherheit der Nutzer im Internet erhöhen.

Be Google Zero Day war man bislang so verfahren, dass man den Softwareanbieter über eine gefundenen Sicherheitslücke informierte und ihm dann 90 Tage Zeit gab, darauf mit einem Patch oder Fix zu reagieren. Nach diesen 90 Tagen hat Google dann die Öffentlichkeit informiert, egal, ob es einen Patch gab oder nicht. Eine Fristverlängerung von 14 Tagen räumte sie den betroffenen Softwareanbietern auf Antrag ein. Ab sofort ändert sich dieses Verfahren. Google gibt wie bisher 90 Tage Zeit und veröffentlicht die Lücke dann aber nur, wenn sie ungepatcht bleibt. Auch hier sind 14 Tage Fristverlängerung möglich. Ist die Lücke gepatcht, gibt Google in seiner neuen Policy nun weitere 30 Tage hinzu, bevor es die Öffentlichkeit informiert.

Neu sind auch die Fristen für Sicherheitslücken, die aktiv ausgenutzt werden. Bislang wurden die jeweils sieben Tage nach der Benachrichtigung des Anbieters veröffentlicht, egal ob es einen Patch gab oder nicht. Verlängerungsfristen wurden nicht eingeräumt.

Die sieben Tage Frist gilt auch weiterhin, aber nur dann, wenn die Lücke ungepatcht bleibt. Gibt es einen Patch, gewährt Google Zero weitere 30 Tage bis zur Veröffentlichung. Softwareanbieter können zudem eine dreitägige Fristverlängerung beantragen. Weitere Details nennt Google Project Zero in seinem Beitrag zu den Policys.

Linux-Kommandozeilentools kommen für Windows

Mit den "Coreutils for Windows" stellt Microsoft ein Set von Kommandozeilenwerkzeugen - dieselben wie unter Linux, MacOS oder WSL - bereit, das nativ unter Windows ausgeführt werden kann.

KI-Modelle lernen mit Open-Source-Daten Diagramme zu lesen

Das neue Trainingsdatenset ChartNet, entworfern von Forschern des MIT und des MIT-IBM Computing Research Lab, könnte die Genauigkeit von Vision-Language-Modellen (VLM) verbessern, die bei der Analyse von Geschäftstrends oder der Interpretation wissenschaftlicher Abbildungen helfen.

Trump unterzeichnet Anordnung zur Überprüfung von KI-Modellen

Die Anordnung stellt eine Abkehr von der bisher vom Weißen Haus gegenüber KI verfolgten zurückhaltenden Haltung dar. Sie folgt auf Debatten darüber, wie man die Kontrolle über KI-Modelle erlangen könne, ohne dabei die Innovation zu behindern.

Vim Classic in erster Version erschienen

Vim Classic ist einer von zwei Vim-Forks (der andere ist EVi), die sich auf die Fahnen geschrieben haben, ganz ohne KI-Unterstützung entwickelt zu werden. Vim Classic geht auf Vim 8.2.0148 zurück (EVi dagegen auf Vim 9.10 mit dem neuen Vim9-Script-Feature) und ist nun in der ersten Version 8.3...

Flathub verbietet KI-generierte Inhalte aller Art

Flathub, das zentrale Repository für Flatpak-Apps, hat eine neue Policy eingeführt, der zufolge KI-generierte oder -assistierte Inhalte verboten sind.

Anthropic beantragt Börsengang

Anthropic, das KI-Unternehmen hinter dem Chatbot Claude, hat vertraulich einen Antrag auf einen Börsengang eingereicht.

E-Mail Benachrichtigung

0 Kommentare

Älteste

Neuste Beste Bewertung

Inline Feedbacks

Alle Kommentare anzeigen