Microsoft zu langsam: Google legt kritische Windows-Lücke offen

2. Jänner 2015, 09:51
60 Postings

Bug-Eintrag samt Exploit 90 Tage nach Bericht automatisch öffentlich - Project Zero mit offensivem Ansatz

Vor einigen Monaten hat sich Google dazu entschlossen, künftig eine aktivere Rolle im Aufspüren von Sicherheitslücken einzunehmen. Unter dem Namen "Project Zero" hat man ein Team aus Hackern zusammengestellt, deren Aufgabenbereich nicht auf Googles eigene Software beschränkt ist. Es werden also auch die Erzeugnisse der Konkurrenz unter die Lupe genommen.

Frist

Dabei gibt man den jeweiligen Softwareherstellern 90 Tage Zeit das Problem mit einem Update zu klären, bevor die Lücke öffentlich gemacht wird. Auf diese Weise soll verhindert werden, dass Fehlerberichte einfach monate- oder jahrelang ohne Auswirkung bleiben. Ein Zeitfenster, das allerdings nicht für alle Firmen groß genug zu sein scheint, wie nun ausgerechnet am Beispiel von Microsoft demonstriert wird.

Kritische Lücke

So hat Google eine kritische Sicherheitslücke in Windows 8.1 öffentlich gemacht, für die es bislang noch keinen Patch vom Hersteller gibt. Über einen Fehler im Systemaufruf NtApphelpCacheControl können normale Nutzer Administrationsrechte erhalten. Der unter dem Namen Forshaw agierende Google-Forscher liefert dazu auch gleich einen Proof-of-Concept, mit dem sich das Problem nachvollziehen lässt.

Reaktion

Die Öffnung des Bug-Eintrags zur Lücke passierte automatisch, da die drei Monate Frist abgelaufen waren. Microsoft wurde laut Google am 30. September über das Problem informiert. In einem Statement gegenüber ZDNet betont Microsoft, dass man an einem Patch für die Lücke arbeite, streicht aber auch heraus, dass die reale Gefährdung begrenzt sei, da man zuerst einen normalen Nutzer-Account auf einem System brauche. Außerdem empfehle man den eigenen Nutzern ihre Antiviren-Software und Firewall aktuell zu halten. Immerhin könnte ja auch installierte Software diese Lücke zum unerwünschten Zugriff auf das System nutzen.

Ansatz

Bei Google verteidigt man in einem Kommentar die eigenen Herangehensweise. Die 90-Tage-Policy des Project Zero stelle sicher, dass die Hersteller zeitnah reagieren. Zudem sei dieser Ansatz öffentlich bekannt, und bei der ursprünglichen Information an Microsoft noch einmal extra betont worden. (apo, derStandard.at, 2.1.2015)

  • Artikelbild
    foto: apa/epa/zoltan mathe
Share if you care.