Google legt weitere Windows-Lücke offen

16. Jänner 2015, 12:45
119 Postings

Dritter Zero-Day in Folge - Microsoft schafft es nicht zeitgerecht Update auszuliefern

Wirklich gute Freunde waren Microsoft und Google wohl nie. Aber es ist davon auszugehen, dass sich das Verhältnis zwischen den beiden Unternehmen in den letzten Tagen nicht unbedingt verbessert hat. So hat Googles Project-Zero-Team nun zum dritten Mal innerhalb innerhalb weniger Wochen eine Windows-Sicherheitslücke vor der Verfügbarkeit eines Updates öffentlich gemacht.

Ablauf

Konkret geht es dieses Mal um eine Sicherheitslücke in Windows 7 und Windows 8.1, die Google am 17. Oktober an Microsoft gemeldet hatte. Eigentlich wollte der Softwarehersteller vergangenen Dienstag zum monatlichen Patch Day ein passendes Update liefern, aufgrund von Kompatibilitätsproblemen wurde dieser aber wieder zurückgezogen. Nun soll die Veröffentlichung des Patches erst im Februar erfolgen. Überlegt es sich Microsoft nicht doch noch anders, bedeutet dies, dass die neue Sicherheitslücke nun mindestens vier weitere Wochen offen bleibt.

Fix

Jene Sicherheitslücke, die erst vor wenigen Tagen für öffentlichen Streit zwischen den beiden Unternehmen gesorgt hatte, hat Microsoft hingegen mittlerweile geschlossen. Aufgrund der offensiven Vorgehensweise von Google wurde das Update offenbar vorgezogen - auch dieses hätte eigentlich erst zum Februar-Patch-Day kommen sollen. Zuvor hatte Microsoft Googles Aktionen in einem Blog-Eintrag scharf als verantwortungslos kritisiert.

Konzept

Trotz der Kritik scheint es unwahrscheinlich, dass sich Google umbesinnt. Das Project Zero wurde extra ins Leben gerufen, um aktiv nach Sicherheitslücken in weit verbreiteter Software zu suchen. Dabei werden alle gemeldeten Fehler automatisch nach 90 Tagen öffentlich gemacht. Mit dieser fix festgesetzten Frist will man bewusst Druck auf die Hersteller ausüben, damit diese ihre Sicherheitslücken zeitnah schließen. Durch eine geheime Meldung ohne Ablauffrist könnte ein Softwarehersteller sonst die Updates ewig verzögern - und damit riskieren, dass andere diese Lücke ebenfalls entdecken und für aktive Angriffe nutzen. (apo, derStandard.at, 16.1.2015)

  • Warten auf Microsoft.
    foto: apa/epa/jagadeesh nv

    Warten auf Microsoft.

Share if you care.