Sicherheitslücken: Microsoft übt scharfe Kritik an Google

12. Jänner 2015, 11:55
195 Postings

Details zu einer Lücke zwei Tage vor dem Update veröffentlicht - Microsoft hatte 90-Tage-Limit verpasst

Zum zweiten Mal innerhalb weniger Tage hat Google eine Windows-Sicherheitslücke noch vor einem Update durch den Hersteller öffentlich gemacht. In einem Blog-Eintrag reagiert Microsoft nun auf diesen Vorgang - und zeigt sich reichlich verärgert.

Kritik

Googles Vorgehen, Sicherheitslücken prinzipiell 90 Tage nach ihrer Meldung an den Hersteller öffentlich zu machen, schade den Konsumenten. Solch eine Vorgehensweise habe mehr von einem spöttischen "erwischt" als von verantwortungsvoller Sicherheitspolitik. Gleichzeitig fordert Microsoft Google auf, sich der eigenen "Coordinated Vulnerability Disclosure"-Policy zu verschreiben.

Ansatz

Genau solche Kompromisse lehnen die Sicherheitsforscher des "Project Zero" bei Google aber ab. Dieses Team war extra zusammengestellt worden, um offensiv nach Sicherheitslücken in verbreiteter Software zu suchen. Die 90-Tage-Frist soll garantieren, dass die Hersteller die Updates nicht ewig verschleppen, und Dritte mit bösartigen Absichten irgendwann das Problem ebenfalls finden und aktiv ausnutzen können.

Patch

Im konkreten Fall dürfte die Verärgerung auch deswegen besonders groß sein, da Microsoft die Auslieferung eines Patches für das erwähnte Problem bereits vorbereitet. Google hat die Sicherheitslücke nun also exakt zwei Tage vor dem monatlichen Patch Day bekannt gemacht. Die Bitte die Veröffentlichung zu verschieben, habe Google aber abgelehnt, so Microsoft. (apo, derStandard.at, 12.1.2015)

  • Microsofts Sicht auf Softwaresicherheit divergiert von jener Googles.
    foto: ted s. warren / ap

    Microsofts Sicht auf Softwaresicherheit divergiert von jener Googles.

Share if you care.