[l]Google sagt an, dass Hersteller von Produkten mit aktiv ausgenutzten 0-day Sicherheitslücken nur noch 7 Tage Zeit kriegen sollen vor dem Advisory. Das ist ein alter Kampf in der Security-Branche. Wir hatten das mal in Alternativlos 25 erklärt. Grundsätzlich reichen die Ansätze von radikalen "scheiß auf die Hersteller, wir veröffentlichen die Details sofort" Anarchisten bis hin zu konservativen "wir geben dem Hersteller so viel Zeit, wie er braucht" Fundis, Tendenz stark zu den Fundis. 7 Tage ist krass wenig, in der Zeit können die meisten Hersteller noch nicht mal garantieren, dass die Email gelesen und ein Bug im Trackingsystem angelegt wurden. Übliche Fristen sind eher so im Monate- bis Jahre-Bereich im Moment. Das wird sich jetzt hoffentlich ändern. Ich halte das für eine gute Sache, da mal ein bisschen aufs Gaspedal zu drücken.