ZURÜCK ZU NACHRICHTEN
ForschungKritisch

Google Project Zero testet Transparenz bei Meldungen zur Reduzierung von Patch-Lücken 2025

3 Min. LesezeitQuelle: Google Project Zero

Google Project Zero führt 2025 ein neues Transparenzmodell für Sicherheitsmeldungen ein, um die „Upstream-Patch-Lücke“ zu schließen und Fixes schneller an Endnutzer zu liefern.

Google Project Zero kündigt Testphase für Transparenz bei Sicherheitsmeldungen an

Mountain View, CA – Juli 2025 – Google Project Zero unter der Leitung von Tim Willis hat eine neue „Reporting Transparency“-Testrichtlinie vorgestellt, die darauf abzielt, die „Upstream-Patch-Lücke“ – eine kritische Verzögerung im Prozess der Schwachstellenbehebung – zu verringern. Diese Initiative soll die Bereitstellung von Sicherheitsfixes für Endnutzer beschleunigen, indem die Transparenz zwischen Upstream-Anbietern und Downstream-Abhängigkeiten verbessert wird.

Wichtige Details der Richtlinienaktualisierung

Unter dem bestehenden 90+30-Offenlegungsmodell haben Anbieter 90 Tage Zeit, um eine Schwachstelle zu beheben, bevor sie öffentlich offengelegt wird, mit einer zusätzlichen 30-tägigen Frist für die Patch-Einführung, falls der Fix frühzeitig veröffentlicht wird. Die neue Testphase führt ein frühes öffentliches Benachrichtigungssystem ein:

  • Innerhalb von einer Woche nach Meldung einer Schwachstelle wird Project Zero öffentlich bekannt geben:
    • Den Anbieter oder das Open-Source-Projekt, das die Meldung erhalten hat.
    • Das betroffene Produkt.
    • Das Datum der Meldungseinreichung und die 90-Tage-Offenlegungsfrist.

Google Big Sleep, eine Zusammenarbeit zwischen Google DeepMind und Project Zero, wird diese Richtlinie ebenfalls übernehmen. Schwachstellenmeldungen werden über den Google Big Sleep Issue Tracker verfolgt.

Die Upstream-Patch-Lücke angehen

Die Upstream-Patch-Lücke bezieht sich auf die Verzögerung zwischen der Veröffentlichung eines Fixes durch einen Upstream-Anbieter und der Integration dieses Fixes durch Downstream-Abhängigkeiten in ihre Produkte. Diese Lücke verlängert den Lebenszyklus von Schwachstellen erheblich und setzt Endnutzer auch dann noch Risiken aus, wenn ein Patch bereits verfügbar ist.

"Für den Endnutzer ist eine Schwachstelle nicht behoben, wenn ein Patch von Anbieter A an Anbieter B veröffentlicht wird; sie ist erst behoben, wenn der Nutzer das Update herunterlädt und installiert," erklärte Willis. "Um diese Kette zu verkürzen, müssen wir die Verzögerung auf der Upstream-Seite angehen."

Ziele und erwartete Auswirkungen

Das Hauptziel der Reporting Transparency-Testphase ist es:

  • Die Transparenz zu erhöhen, indem Downstream-Abhängigkeiten frühzeitig über Upstream-Schwachstellen informiert werden.
  • Stärkere Kommunikationskanäle zwischen Anbietern zu fördern, um die Entwicklung und Einführung von Patches zu beschleunigen.
  • Die öffentliche Nachverfolgung der Zeit zu ermöglichen, die Fixes benötigen, um Endnutzer zu erreichen – insbesondere, wenn sie nie ankommen.

Project Zero erwartet, dass diese Testphase ein proaktiveres Sicherheitsökosystem fördert und letztlich das Zeitfenster für die Ausnutzung kritischer Schwachstellen verkürzt.

Sicherheitsimplikationen und Reaktion der Branche

Obwohl die Testphase zunächst öffentliche Aufmerksamkeit auf ungepatchte Schwachstellen lenken könnte, betont Project Zero, dass keine technischen Details, Proof-of-Concept-Code oder exploit-relevante Informationen vor dem Offenlegungsfristende veröffentlicht werden. Die Richtlinie dient als Warnmechanismus, nicht als Anleitung für Angreifer.

"Wir sind der Meinung, dass die Vorteile einer fairen, einfachen und transparenten Richtlinie die Risiken einer Unannehmlichkeit für eine kleine Anzahl von Anbietern überwiegen," sagte Willis. "Im Jahr 2025 sollte die bloße Existenz von Schwachstellen in Software weder überraschend noch alarmierend sein. Endnutzer sind sich der Bedeutung von Sicherheitsupdates bewusster denn je, und es ist allgemein anerkannt, dass komplexe Systeme Schwachstellen aufweisen werden."

Nächste Schritte und Überwachung

Als Testphase wird Project Zero die Auswirkungen der Richtlinie genau beobachten und bei Bedarf Anpassungen vornehmen. Das ultimative Ziel ist die Schaffung eines sichereren Ökosystems, in dem Schwachstellen nicht nur in Upstream-Repositories, sondern auch auf den Geräten, Systemen und Diensten behoben werden, die Endnutzer täglich verwenden.

Sicherheitsexperten und Anbieter sind aufgefordert, Feedback zu geben, während die Testphase fortschreitet. Weitere Details finden Sie auf der Project Zero Reporting Transparency-Seite.

Teilen

TwitterLinkedIn