Patchday: Microsoft schließt schwere Sicherheitslücke
Nicht lange ist es her, da stellte Google Microsoft an den Pranger. Man habe eine sehr kritische Sicherheitslücke entdeckt, die aktiv ausgenutzt werde. Da greift dann nicht die sich von Google selbst auferlegte 90 Tage-Frist, die ein Unternehmen Zeit hat, die Lücke zu flicken – sie schrumpft auf schlanke sieben Tage. Google machte die Lücke bekannt als sie noch nicht von Microsoft geschlossen war. Das holt der Redmonder Konzern mit den heute verteilten Updates nach, Nutzer sollten dementsprechend also schauen, dass sie ihre automatischen Updates aktiviert haben und diese einspielen. Solltet ihr an weiteren Details zum Update von Windows interessiert sein, so findet ihr diese hier und im Microsoft-Sicherheitsbulletin, in dem das Update für den Windows-Kernelmodustreiber beschrieben wird.
Super Vorgehen von Google. Da fühl ich mich gleich sicherer wenn die Lücke nun für jeden bekannt ist. Zum Glück hat Microsoft ja auch nur ein paar Hundert Windows 10 Geräte die aktualisiert werden müssen. Danke Google
@Vorredner
Google hat Microsoft vorab informiert, weil „Google Kenntnis erlangt habe, dass die Lücke aktiv ausgenutzt wird, greift die eigens festgelegte „policy for actively exploited critical vulnerabilities“.“, das heißt,
nachdem Microsoft auch nach einer Woche keinen Fix angeboten hat, wurde das Sicherheitsleck veröffentlicht. Sonst hätte MS das wohl noch länger ausgesessen.
@WOK Ich denke nicht, dass MS das wohl länger aussitzen lässt. Meine Frage ist mehr die, ob das wirklich so sinnvoll ist, alle Nutzer zu gefährden, dadurch dass Details zu der Lücke veröffentlicht wird?
Und im Übrigen ist das „noch länger“ hier sicher fehl am Platz. Sie hatten es nur eine Woche vorher erfahren.
@Dark
da denkst du falsch, denn viele größere Unternehmen sitzen es sehr wohl aus und gerade bei größeren Sicherheitslücken, sollte diese Priorität haben – hier zählt jede Minute.
Die Hacker haben im Gegenzug sonst länger Zeit die Lücke auszunutzen, weil deren Informationsaustausch ist turbo schnell.
Sicherlich gibt es Firmen die sowas aussitzen. Aber eine Woche zur Behebung von Sicherheitslücken ist nicht gerade lang. Ich arbeite selbst in der Softwareentwicklung und kann dir sagen, dass alleine die Nachstellung des Problems und die anschließende Testphase, obs auch wirklich auf allen Geräten und Betriebssystemversionen funktioniert enorm Zeit in Anspruch nimmt.
„Die Hacker haben im Gegenzug sonst länger Zeit die Lücke auszunutzen, weil deren Informationsaustausch ist turbo schnell.“
Das nenn ich mal ein Gerücht. Warum sollte die russische Hackergruppe die Verbindung zur Regierung hat ein Interesse daran haben irgendwelchen Zweitklassigen Hackern auch Zugriff auf die Lücke zu geben? Die guten Samariter oder was?
Wenn du eine Sicherheitslücke hast, dann wirst du ganz sicher nicht versuchen, die möglichst vielen auf die Nase zu binden. Es reicht wenn du selbst sie möglichst lange unerkannt nutzen kannst.
@Dark – „…dass alleine die Nachstellung des Problems und die anschließende Testphase…“
Was für eine Testphase? DAS überlässt MS seit einiger Zeit doch eh dem User.
Ich finde es richtig, dass nach so etwas auch mal passiert, damit sich die Großen nicht all zu sicher fühlen…
Wenn ich in den letzten Jahren über die ausgenutzten Lücken erfahre, teilweise seit Jahrzehnten im Code, und trotz „Testphase“ es mehrfache Patches bedingt, die Lücken halbwegs zu schließen….
Besonders Microsoft, Adobe und Oracle haben sich da besonders negativ hervor getan.
Vielleicht wird es besser, fangen wir doch schon mal mit den Neujahrswünschen an…
😉