Neue Publikationsregeln für Googles Schwachstellen-Analyseteam Project Zero: In Zukunft werden entdeckte Sicherheitslücken generell nach einer Frist von 90 Tagen veröffentlicht. Dies gilt neu auch dann, wenn der betroffene Hersteller schon früher einen Patch bereitstellt. Dies soll als Incentive dienen, Patches nicht nur rasch, sondern auch in hoher Qualität zu entwickeln. "Schnelle" Hersteller haben damit mehr Zeit, um ihre Patches zu vervollkommnen. Und die Anwender stehen weniger unter Druck, die Updates so schnell wie möglich zu installieren. Nach 90 Tagen werden die Erkenntnisse von Project Zero jetzt jedoch automatisch publiziert – bisher war der jeweils zuständige Mitarbeiter für die Veröffentlichung zuständig.
Dass Hersteller Patches gelegentlich überelit herausbringen, bestätigt Tim Willis von Project Zero im
Projektblog: "Nur zu oft haben wir gesehen, dass Anbieter Schwachstellen patchen, indem sie gewissermassen über die Risse tapezieren und weder verschiedene Varianten prüfen noch noch das Grundproblem angehen."
(ubi)