Google enthüllt dritte Zeroday-Lücke in Windows
Die Sicherheitsforscher der Firma haben die Lücke öffentlich gemacht, obwohl Microsoft ihnen mitgeteilt hatte, dass ein eigentlich fertiger Patch wegen Kompatibilitätsproblemen verschoben werden musste.
- Fabian A. Scherschel
Google hat eine weitere Sicherheitslücke in Windows 7 und 8.1 offengelegt. Die Lücke kann dazu missbraucht werden, auf den eigentlich verschlüsselten Speicherinhalt eines Programms zuzugreifen, das von einem anderen Nutzer ausgeführt wird. Das erlaubt zwar keinen direkten Zugriff aus dem Netz, kann aber eventuell zusammen mit anderen Lücken bei einem Angriff verwendet werden, um die Sicherheit des Betriebssystems zu schwächen. Zusammen mit der Beschreibung der Lücke hat Google auch Beispielcode für einen Exploit bereitgestellt.
Microsoft verschiebt Patch, Google veröffentlicht trotzdem
Bei der Veröffentlichung handelt es sich um die dritte Zeroday-Lücke in Windows, die Google seit Anfang des Jahres bekanntgegeben hat. Zuletzt hatte Microsoft die Firma dafür stark kritisiert. Auch jetzt wird Microsoft nicht begeistert sein, dass die Schwachstelle bekannt gemacht wurde. Aus Googles Beschreibung der Lücke geht hervor, dass Microsoft eigentlich ein Update am Januar-Patchday veröffentlichen wollte, dieses aber auf den Februar-Patchday verschoben hatte. Google wusste davon und hat den Exploit trotzdem planmäßig veröffentlicht.
Microsoft bittet Sicherheitsforscher darum, die Details zu Sicherheitslücken erst zu veröffentlichen, wenn ein Patch allgemein verfügbar ist. Mit dieser Meinung prallt die Firma frontal mit den Ansichten von Google zusammen. Deren Sicherheits-Teams geben Firmen routinemäßig genau 90 Tage Zeit, einen Patch zu entwickeln. Vergeht mehr Zeit zwischen dem Melden der Lücke und der Verfügbarkeit eines Patches, wird die Lücke wie in diesem Fall öffentlich gemacht. Besonders seit Gründung des Project Zero geht Google gezielt auf Jagd nach Zeroday-Lücken und veröffentlicht deswegen auch mehr Windows-Lücken.
Pest oder Cholera?
Microsoft scheint beim Thema Windows-Updates momentan von allen Seiten unter Druck zu stehen. Zum einen kommt es in den vergangenen Monaten immer wieder zu Problemen bei der Bereitstellung von Patches, zum andern gerät die Firma in die Kritik von Sicherheitsforschern, die der Meinung sind, dass Updates für an die Firma gemeldete Lücken zu lange auf sich warten lassen. Auch in diesem Fall wurde der Patch offensichtlich verzögert, weil beim Testen Probleme auftraten. Veröffentlicht Microsoft einen solchen Patch verfrüht, läuft die Firma Gefahr, dass Nutzer Probleme bekommen. Warten die Windows-Entwickler und testen länger, riskieren sie, dass eine potentiell gefährliche Lücke über Wochen die Rechner der Nutzer unsicher macht. (fab)