Ausnutzung von Schwachstellen
Neue Fristen wegen Qualitätsrückgang der Patches
Die Zero Day Initiative hat eine neue Richtlinie für ihre Fristen für die Offenlegung von Schwachstellen angekündigt: Es gibt teilweise kürzere Fristen, um einen signifikanten Rückgang der Qualität von Patches und der Kommunikation der Anbieter mit den Kunden zu beheben.
Auf der Konferenz Black Hat USA kündigten wir einige neue Offenlegungsfristen an. Unsere Standardfrist von 120 Tagen für die Offenlegung der meisten Schwachstellen bleibt bestehen, aber für Fehlermeldungen, die aus fehlerhaften oder unvollständigen Patches resultieren, werden wir eine kürzere Frist festlegen. Das ZDI wird künftig einen mehrstufigen Ansatz verfolgen, der sich nach dem Schweregrad des Fehlers und der Wirksamkeit des ursprünglichen Fixes richtet. Die erste Stufe sieht einen Zeitrahmen von 30 Tagen für die meisten als kritisch eingestuften Fälle vor, in denen ein Missbrauch festgestellt oder erwartet wird. Die zweite Stufe umfasst ein 60-Tage-Intervall für Fehler mit kritischem und hohem Schweregrad, bei denen der Patch einen gewissen Schutz bietet. Schließlich gibt es eine 90-Tage-Frist für andere Schweregrade, bei denen keine unmittelbare Gefährdung zu erwarten ist. Wie bei unseren normalen Fristen werden auch hier Verlängerungen nur in begrenztem Umfang und auf Einzelfallbasis gewährt.
Seit 2005 hat das ZDI mehr als 10.000 Sicherheitslücken an zahlreiche Hersteller gemeldet. Aufgrund dieser Meldungen und der daraufhin erstellten Patches können wir beim Thema Bug-Offenlegung aus einem großen Erfahrungsschatz schöpfen. In den letzten Jahren stellten wir einen beunruhigenden Trend fest: Die Qualität der Patches hat abgenommen und die Kommunikation mit den Anwendern bezüglich der Patches ist schlechter geworden. Dies führte dazu, dass Unternehmen nicht mehr in der Lage sind, das Risiko für ihre Systeme genau einzuschätzen. Außerdem kostet es sie Geld und Ressourcen, da schlechte Patches erneut veröffentlicht und somit erneut angewendet werden.
Die Anpassung unserer Offenlegungsfristen ist einer der wenigen Bereiche, auf die wir als Herausgeber von Offenlegungen Einfluss nehmen können, und wir haben dies in der Vergangenheit mit positiven Ergebnissen getan. Zum Beispiel betrug unser Zeitrahmen für die Veröffentlichung von Daten früher 180 Tage. Auf der Grundlage von Daten, die wir über die Veröffentlichung von Schwachstellen und Patches gesammelt haben, konnten wir diese Frist jedoch auf 120 Tage verkürzen, was dazu beigetragen hat, die Zeit bis zur Behebung der Schwachstelle zu verkürzen. In Zukunft werden wir fehlgeschlagene Patches genauer verfolgen und die Richtlinien auf der Grundlage der gesammelten Daten anpassen.
Des Weiteren kündigten wir die Erstellung eines neuen Twitter Handles an: @thezdibugs. Über diesen Feed werden nur veröffentlichte Advisories getwittert, die entweder einen hohen CVSS-Wert oder einen Zero-Day-Wert aufweisen oder von Pwn2Own stammen.
Bezüglich unserer veröffentlichten und anstehenden Fehlerreports sind wir auf dem besten Weg, unser bisher arbeitsreichstes Jahr zu erleben - und das bereits im dritten Jahr in Folge. Das bedeutet auch, dass wir bei der Verfolgung unvollständiger oder anderweitig fehlerhafter Patches eine Fülle von Daten zur Verfügung haben werden, die wir nutzen, um die Zeitpläne nach Bedarf anzupassen, je nachdem, was wir in der Branche beobachten. Mit schätzungsweise 1.700 Meldungen allein in diesem Jahr sollten wir in der Lage sein, eine Fülle von Messdaten zu sammeln. Wir hoffen, dass wir im Laufe der Zeit Verbesserungen sehen werden.