Das Project Zero wurde von Google ins Leben gerufen, um kritische Lücken in viel genutzter Software aufzuspüren, und so die Sicherheit des Internets als Ganzes zu verbessern. Fehler werden dabei vertraulich an die jeweiligen Hersteller gemeldet. Um zu verhindern, dass diese die Bugs einfach ignorieren, hat sich das Projekt aber noch einer anderen Regel verschrieben: Alle Fehler werden nach 90 Tagen automatisch öffentlich gemacht, nur in Ausnahmefällen kann diese Frist verlängert werden.

Microsoft

Eine Herangehensweise, die längst nicht bei allen gut ankommt, so scheint vor allem Microsoft echte Probleme damit zu haben, zeitgerecht zu reagieren. Und so kommt es nun zum wiederholten Male dazu, dass das Project Zero einen Bug in Microsoft-Software öffentlich macht, bevor ein Update durch den Hersteller verfügbar ist.

Browser-Bug

Konkret geht es um einen Fehler im Internet Explorer 11 sowie in Microsoft Edge. Über eine simple Kombination aus CSS und Javascript lässt sich hier ein Type-Confusion-Bug auslösen, der zu einem Absturz des Browsers führt. Ob sich dabei infolge auch Schadcode einschmuggeln und zur Ausführung bringen lässt, wie es bei solchen Fehlern oftmals der Fall ist, will Google bislang nicht kommentieren. Angesichts der Klassifizierung als kritische Lücke scheint dies aber als durchaus wahrscheinlich.

Verblüffung

Bei Google zeigt man sich verblüfft darüber, dass Microsoft in diesem Fall die Deadline verpasst hat. Grund dafür könnte sein, dass das Unternehmen den Februar-Patch-Day nach in letzter Minute aufgetauchten Problemen mit dem Update ausfallen hat lassen. Erst vor wenigen Tagen hatte Google einen ungepatchten Fehler im Graphics Device Interface von Windows öffentlich gemacht.

Umstritten

Die strikte Herangehensweise des Project Zero hat in der Vergangenheit immer wieder für Kritik gesorgt. Zumindest gehen die Sicherheitsforscher dabei aber konsistent vor, so wurden in der Vergangenheit auch bereits Bugs in Android öffentlich gemacht, bevor ein Fix verfügbar war. (apo, 28.2.2017)