Zero Day Initiative: Apple muss Security-Patches schneller ausliefern
rj, den 5. August 2010Sechs Monate zwischen der Entdeckung einer Sicherheitslücke und ihrer Veröffentlichung scheint wie eine lange Zeit. Dass die Zero Day Initiative nun diese Frist durchsetzen will, könnte bei Apple trotzdem zum beschleunigten Arbeiten führen. Denn in Sachen Wartezeit auf Patches führt das Unternehmen aus Cupertino regelmäßig die Ranglisten an.
Wenn von „Whitehats“, nach Möglichkeit fair und sicherheitsbewusst agierenden Securityexperten, ein Exploit entdeckt wird, wird dieser in der Regel dem Hersteller mitgeteilt und bis zum Erscheinen eines Bugfixes nicht oder nur in Ausnahmefällen veröffentlicht. ZDI will nun standardmäßig bekannte Lücken spätestens sechs Mnate nach ihrer Entdeckung veröffentlichen. Dadurch werden auch Angreifern die notwendigen Mittel in die Hand gegeben, um Rechner von Usern zu attackieren, die naturgemäß über keinen Patch verfügen.
Apple hat die maximale Wartezeit für einen Patch zwischen 2008 und 2009 immerhin von 156 auf 145 Tage drücken können und wäre in beiden Fällen unter der Sechsmonatsfrist geblieben. Die durchschnittliche Patchdauer ist bei Apple jedoch nach wie vor vergleichsweise hoch, auch und gerade bei Applikationen, die millionenfach verbreitet sind: Safari-Sicherheitslücken wurden im Schnitt nach 13 Tagen gepatcht, die Konkurrenz hat hier Responsezeiten von unter 24 Stunden. Der Apple-Browser liegt in Sachen Sicherheitslücken auf Platz 2, Apple als Hersteller wurde in der 2010-Secunia-Studie gar Spitzenreiter des Schwachstellen-Herstellerrankings.
Während die 180-Tage-Frist der ZDI bei Apple nicht zwangsläufig zu einer Beschleunigung der Arbeit des Security-Teams führen muss, sind die angedachten Fristen anderer Akteure im Sicherheitssektor noch etwas zeitkritischer. heise verweist auf Google und das US-CERT, die bekannte Lücken nach 60 bzw. 45 Tagen publizieren wollen bzw. dies im Fall des US-Certs bereits tun.