Sicherheit: Google veröffentlicht wieder ungepatchte Windows-Sicherheitslücke
Vor ein paar Tagen erst gab es eine Diskussion um Sicherheitslücken in Windows, beziehungsweise deren Offenlegung. Normalerweise nutzen die Google-Mitarbeiter, die eine Sicherheitslücke finden, ein 90 Tage-Fenster. Heißt: finden sie eine Lücke, wird der Hersteller informiert, dass dieser Zeit hat die Lücke zu schließen. Im Falle der Diskussion ging es darum, dass Microsoft die Lücke nicht schloss, Google diese aber öffentlich machte und so laut den Kritikern „Millionen Nutzer“ gefährdete.
Bei Google Security Research wurde zwischenzeitlich ebenfalls diskutiert, ob man eine solche Lücke, die Millionen von Nutzern betrifft, tatsächlich öffentlich machen sollte. Diese Diskussion gab es bereits, als Google die 90-Tage-Frist einführte. Google scheint dennoch an der 90-Tage-Frist festzuhalten, denn man hat eine weitere Lücke offengelegt, die noch nicht geschlossen ist. Sie betrifft Rechner, die mit Windows 7 oder Windows 8.1 ausgestattet sind. Microsoft hatte die Lücke schließen wollen, musste aber noch nacharbeiten – Google störte dies anscheinend nicht, Nutzer sind nun noch ein paar Wochen von der Lücke betroffen. (via HackerNews)
Das ist kein einfaches Thema. Aber irgendwie muss man Druck ausüben können, wenn man Lücken findet. Wenn Google die Details nicht veröffentlicht heißt das ja auch nicht, dass niemand sonst die Fehler kennt.
Microsoft sollte sich meines Erachtens nach nicht beschweren, sondern versuchen die Lücken schneller zu schließen. Das ist auch Googles Ziel. 90 Tage – 3 Monate – sind schon eine ausreichend lange Zeit.
richtig so, 90 Tage sind genug! Windows ist zwar eine hochkomplexe Software, aber trotzdem sollte MS dazu in der Lage sein die Lücke rechtzeitig zu schließen. Vielleicht müssen sie ja ihre Prozesse überdenken oder mehr Leute zum Schließen von Sicherheitslücken einstellen, aber es ist wichtig, dass Sicherheitslücken in Zukunft schneller geschlossen werden. Vielleicht hilft der Druck von google ja…
Ich finde es auch gut, wenn da ein bisschen Druck gemacht wird.
Ob 90 Tage reichen ist aber stark von der Art der Lücke abhängig. Es gibt Lücken die kann ein Unternehmen wie MS in 30 Tagen schließen und es gibt welche die so fundamental sind, dass es ein Jahr und länger dauern kann.
Sagt der Verein der Android entwickelt, welches immer noch eine nicht geschlossene Lücke hat!?!
Im Grunde ist es richtig, aber muss sowas auf kosten der Nutzer breitgetreten werden??? Google mag MS nicht soweit ist klar, aber wenn sie es besser können, wo bleiben die offiziellen Google Apps für WP? Wo ist der Patch /Fix der die Lücke bei Android schließt?
Hat Google andere zahlen/prognosen oder woher der „plötzliche“ hass gegen MS, Angst? Gegen Windows haben sie 0! Chance und bei WP liegen sie so dermaßen weit voraus das es unnötig ist, noch schlimmer wenn die lösung schon da war und nur noch nachgebessert werden muss, besser so als wenn wie zuletzt immer wieder Updates zurück gezogen werden müssen weil sie fehlerhaft sind!
Sehe ich auch so und Microsoft ist kein 3 Mann Unternehmen.
ENDLICH !, Mich nervt schon die ganze Zeit das mein Rechner für SONY Angriffe gekapert wird. Die ganze Zeit macht mein Rechner eine DDOS, Irgendwie nervt das zum arbeiten nebenher, ich kann fast nix uploaden oder downloaden und es gibt kein Patch 🙁
Danke Google
Sagt also der Verein, der seit jeher ein Mal- und Spywareproblem im CWS und GPS hat. Sagt mir der, der sich wie ein Parasit in Windows 8 einnisten wollte und ein komplettes Chrome OS nachgebildet hat. Sagt mir der, der mal eben 60 % aller Android-Nutzer mit WebView alleine lässt. Sagt mir der, bei dem es Jahre gedauert hat, bis der Clocktime-Bug auch wirklich als Fehler anerkannt wurde. Sagt mir der, der nur eine einzige App für Windows Phone zur Verfügung stellt und die ist auch noch abartig primitiv und wurde seit über einem Jahr nicht mehr aktualisiert… 😉
Versteht mich nicht falsch, die Scroogled-Kampagne war abartig peinlich und ich verstehe bis heute nicht, warum sich Microsoft auf dieses billige Niveau herabgelassen hat. Und ja, ich gebe auch zu, ich mag viele der Microsoft-Dienste und stehe Google in sehr vielen Punkten sehr kritisch gegenüber. De facto trägt man aber mit dieser Politik den Kampf um Sicherheit auf dem Rücken der Nutzer aus und ob eine Lücke in 90 Tagen geschlossen werden kann, hängt von ihrer Komplexität ab. In vielen Fällen muss man Microsofts Updatepolitik auch scharf kritisieren, egal ob qualitativ wie Ende 2014 oder ein Jahr zuvor, wo Lücken auch mal 3-4 Monate offen blieben. Da stimme ich voll zu. Aber was Google hier macht, ist nicht viel besser, zumal man auch vor der eigenen Haustür kehren sollte.
@aloraha:
Aha, d.h. du hast wo vorher draufgeklickt und dir was eingefangen.. 😉
@ aloraha. ..Wenn dein scheiß Rechner derartige Versuche unternimmt, liegt das nicht an der offenen Stelle des Betriebssystems sondern weil du dir deinen Rechner SELBST mit diverser Software versaut hast. Son “ Zombie “ Rechner entsteht nicht von alleine. Sowas geht nur wenn sone Leuchten wie du auf jeden scheiß Linke klicken und jede dämliche Mail mit Anhang öffnen. Hättest du einen vernünftig eingerichteten Rechner, würde das gar nicht soweit kommen. …..Aber immer erstmal die Schuld bei anderen suchen !!!….kotz
@Chris: Ich bin mir sicher, der Kommentar von aloraha ist sarkastischer Natur…
@aloraha: Ich glaube zudem, dass auch 90% der Techis den Sarkasmus vortäuschen… da muss man verdammt aufpassen verstanden zu werden und ich auf ironische Weise weiter belustigen… mmd… schönes WE noch!
Wenn MS aber drum gebeten hat, noch ein wenig mit der Veröffentlichung zu warten, so finde ich das von Google nicht ok – zumal wohl gleich ein Exploit veröffentlicht wurde.
MS arbeitet doch dran. Man gab seitens MS zu, dass man noch ein wenig zeig benötigt da Komplikationen aufgetreten sind – soll man trotzdem veröffentlichen, damit Google Ruhe gibt? Und dann maulen die Leute rum, das der Patch nichts taugt, seit dem der Rechner spinnt usw. – evtl genau die, die meinen, so ein klacks wäre in 90 Tagen zu schaffen.
Ich meine hallo? MS hat nun mal mehre OS-Versionen, die Software läuft auf allen möglichen , z.T exotischen Kombinationen von Hard- und Software, da kann es sonst was für Wechselwirkungen geben.
Vielleicht sollte sich Google man an die eigene Nase fassen und endlich Patche/Verbesserungen für ältere Android-Versionen bereitstellen – aber was kümmert mich meine Software von gestern….
Aber wehe, MS gibt die Unterstützung für XP oder 7 oder 8 zu früh auf, dass ist MS wieder der Böse.
Kann es ein, dass hier mit unterschiedlichem Maß gemessen wird???
Auf dem Rücken der Nutzer ausgetragen, eeeh? Wie viel Zeit soll Microsoft denn sonst noch lassen, man hat sich in den letzten Jahren nicht gerade mit Ruhm bekleckert. Das tut jetzt am Anfang etwas weh, wenn Microsoft die neue Realität anerkennt, dann sind es gerade die Nutzer die davon profitieren.
Bis es soweit ist, benutze ich einfach weiter meinen XP Rechner und infiziere euch alle 😛
Ist wie beim Bahnstreik – zwei Seiten streiten sich, und der Benutzer ist der blöde, egal, wie toll die Argumente sind. Ich bin immer sehr dankbar, das Person/Firma X für mich entschieden hat, dass ich jetzt für den Druck auf Person/Firma Y zuständig bin… ich rufe jetzt gleich bei Microsoft an und beschwere mich, bestimmt wird sie das zum Umdenken bringen und der nächste Bug wird viel schneller gefixt…
Google is evil! ?
@DanielJackson85 welche nicht geschlossene Lücke meinst du?
Von Google vlt die schönste Art, sich noch im Nachhinein für die Scroogled-Kampagne zu bedanken.
User sind in jedem Fall von der Lücke betroffen, ob Google sie veröffentlicht oder nicht.
Microsoft tut so, als ob erst mit Veröffentlichung einer Sicherheitslücke Gefahr bestehen würde. Aber das ist natürlich Quatsch. Man muß immer davon ausgehen, daß die Lücke auch anderen bereits bekannt ist und ausgenutzt ist.
Problematisch ist vielmehr, daß es Microsoft wichtiger ist, den Patchday einzuhalten, anstatt eine bekannt Lücke, zu der sie einen Patch haben, zu schließen. Damit riskiert Microsoft die Sicherheit ihrer Kunden.
Im Fall letztes Wochenende hatten sie ja anscheinend den Patch fertig, aber der Patchday war halt noch nicht ran.
Wenn hier jemand auf Kosten der Kunden agiert, ist es m.E. Microsoft.
Nennt man auch Scroogled 2.0
Erinnert sich noch jemand an den Master Key Exploit in Android ? Um das Problem zu beheben hat Google 4 Monate gebraucht.
Es gibt nun mal Fehler die kann man nicht in 90 Tagen lösen. 2 Tage vor Patch zu veröffentlichen ist einfach unterste Schublade.
@esque:
also im Beitrag steht, dass MS nacharbeiten mußte – nichts von wegen, dass man den Patchday einhalten wollte.
Und wenn man vorschnell was veröffentlicht und den Patch dann hinterher zurückziehen muß ( wie Ende 2014) ist das Gejammer auch wieder groß.
Ich habe keine Ahnung von der Materie – aber evtl ist der Aufwand ja größer, als manch einer hier vermutet – also Lücke analysieren, beheben – und den Patch auch noch unter verschiedenen Konstellationen testen
Sollte von MS doch in 3 Monaten schaffbar sein, eine Lücke ohne weitere Bugs zu schließen – schließlich sparen sie sich ja die Zeit um solche Lücken zu finden! xD