Sicherheit: Google veröffentlicht wieder ungepatchte Windows-Sicherheitslücke

microsoft_logo

Vor ein paar Tagen erst gab es eine Diskussion um Sicherheitslücken in Windows, beziehungsweise deren Offenlegung. Normalerweise nutzen die Google-Mitarbeiter, die eine Sicherheitslücke finden, ein 90 Tage-Fenster. Heißt: finden sie eine Lücke, wird der Hersteller informiert, dass dieser Zeit hat die Lücke zu schließen. Im Falle der Diskussion ging es darum, dass Microsoft die Lücke nicht schloss, Google diese aber öffentlich machte und so laut den Kritikern „Millionen Nutzer“ gefährdete.

Bei Google Security Research wurde zwischenzeitlich ebenfalls diskutiert, ob man eine solche Lücke, die Millionen von Nutzern betrifft, tatsächlich öffentlich machen sollte. Diese Diskussion gab es bereits, als Google die 90-Tage-Frist einführte. Google scheint dennoch an der 90-Tage-Frist festzuhalten, denn man hat eine weitere Lücke offengelegt, die noch nicht geschlossen ist. Sie betrifft Rechner, die mit Windows 7 oder Windows 8.1 ausgestattet sind. Microsoft hatte die Lücke schließen wollen, musste aber noch nacharbeiten – Google störte dies anscheinend nicht, Nutzer sind nun noch ein paar Wochen von der Lücke betroffen. (via HackerNews)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

31 Kommentare

  1. Das ist kein einfaches Thema. Aber irgendwie muss man Druck ausüben können, wenn man Lücken findet. Wenn Google die Details nicht veröffentlicht heißt das ja auch nicht, dass niemand sonst die Fehler kennt.

    Microsoft sollte sich meines Erachtens nach nicht beschweren, sondern versuchen die Lücken schneller zu schließen. Das ist auch Googles Ziel. 90 Tage – 3 Monate – sind schon eine ausreichend lange Zeit.

  2. richtig so, 90 Tage sind genug! Windows ist zwar eine hochkomplexe Software, aber trotzdem sollte MS dazu in der Lage sein die Lücke rechtzeitig zu schließen. Vielleicht müssen sie ja ihre Prozesse überdenken oder mehr Leute zum Schließen von Sicherheitslücken einstellen, aber es ist wichtig, dass Sicherheitslücken in Zukunft schneller geschlossen werden. Vielleicht hilft der Druck von google ja…

  3. Ich finde es auch gut, wenn da ein bisschen Druck gemacht wird.

    Ob 90 Tage reichen ist aber stark von der Art der Lücke abhängig. Es gibt Lücken die kann ein Unternehmen wie MS in 30 Tagen schließen und es gibt welche die so fundamental sind, dass es ein Jahr und länger dauern kann.

  4. DanielJackson85 says:

    Sagt der Verein der Android entwickelt, welches immer noch eine nicht geschlossene Lücke hat!?!
    Im Grunde ist es richtig, aber muss sowas auf kosten der Nutzer breitgetreten werden??? Google mag MS nicht soweit ist klar, aber wenn sie es besser können, wo bleiben die offiziellen Google Apps für WP? Wo ist der Patch /Fix der die Lücke bei Android schließt?

    Hat Google andere zahlen/prognosen oder woher der „plötzliche“ hass gegen MS, Angst? Gegen Windows haben sie 0! Chance und bei WP liegen sie so dermaßen weit voraus das es unnötig ist, noch schlimmer wenn die lösung schon da war und nur noch nachgebessert werden muss, besser so als wenn wie zuletzt immer wieder Updates zurück gezogen werden müssen weil sie fehlerhaft sind!

  5. Sehe ich auch so und Microsoft ist kein 3 Mann Unternehmen.

  6. ENDLICH !, Mich nervt schon die ganze Zeit das mein Rechner für SONY Angriffe gekapert wird. Die ganze Zeit macht mein Rechner eine DDOS, Irgendwie nervt das zum arbeiten nebenher, ich kann fast nix uploaden oder downloaden und es gibt kein Patch 🙁

    Danke Google

  7. Sagt also der Verein, der seit jeher ein Mal- und Spywareproblem im CWS und GPS hat. Sagt mir der, der sich wie ein Parasit in Windows 8 einnisten wollte und ein komplettes Chrome OS nachgebildet hat. Sagt mir der, der mal eben 60 % aller Android-Nutzer mit WebView alleine lässt. Sagt mir der, bei dem es Jahre gedauert hat, bis der Clocktime-Bug auch wirklich als Fehler anerkannt wurde. Sagt mir der, der nur eine einzige App für Windows Phone zur Verfügung stellt und die ist auch noch abartig primitiv und wurde seit über einem Jahr nicht mehr aktualisiert… 😉

    Versteht mich nicht falsch, die Scroogled-Kampagne war abartig peinlich und ich verstehe bis heute nicht, warum sich Microsoft auf dieses billige Niveau herabgelassen hat. Und ja, ich gebe auch zu, ich mag viele der Microsoft-Dienste und stehe Google in sehr vielen Punkten sehr kritisch gegenüber. De facto trägt man aber mit dieser Politik den Kampf um Sicherheit auf dem Rücken der Nutzer aus und ob eine Lücke in 90 Tagen geschlossen werden kann, hängt von ihrer Komplexität ab. In vielen Fällen muss man Microsofts Updatepolitik auch scharf kritisieren, egal ob qualitativ wie Ende 2014 oder ein Jahr zuvor, wo Lücken auch mal 3-4 Monate offen blieben. Da stimme ich voll zu. Aber was Google hier macht, ist nicht viel besser, zumal man auch vor der eigenen Haustür kehren sollte.

    @aloraha:
    Aha, d.h. du hast wo vorher draufgeklickt und dir was eingefangen.. 😉

  8. @ aloraha. ..Wenn dein scheiß Rechner derartige Versuche unternimmt, liegt das nicht an der offenen Stelle des Betriebssystems sondern weil du dir deinen Rechner SELBST mit diverser Software versaut hast. Son “ Zombie “ Rechner entsteht nicht von alleine. Sowas geht nur wenn sone Leuchten wie du auf jeden scheiß Linke klicken und jede dämliche Mail mit Anhang öffnen. Hättest du einen vernünftig eingerichteten Rechner, würde das gar nicht soweit kommen. …..Aber immer erstmal die Schuld bei anderen suchen !!!….kotz

  9. @Chris: Ich bin mir sicher, der Kommentar von aloraha ist sarkastischer Natur…

    @aloraha: Ich glaube zudem, dass auch 90% der Techis den Sarkasmus vortäuschen… da muss man verdammt aufpassen verstanden zu werden und ich auf ironische Weise weiter belustigen… mmd… schönes WE noch!

  10. Wenn MS aber drum gebeten hat, noch ein wenig mit der Veröffentlichung zu warten, so finde ich das von Google nicht ok – zumal wohl gleich ein Exploit veröffentlicht wurde.
    MS arbeitet doch dran. Man gab seitens MS zu, dass man noch ein wenig zeig benötigt da Komplikationen aufgetreten sind – soll man trotzdem veröffentlichen, damit Google Ruhe gibt? Und dann maulen die Leute rum, das der Patch nichts taugt, seit dem der Rechner spinnt usw. – evtl genau die, die meinen, so ein klacks wäre in 90 Tagen zu schaffen.

    Ich meine hallo? MS hat nun mal mehre OS-Versionen, die Software läuft auf allen möglichen , z.T exotischen Kombinationen von Hard- und Software, da kann es sonst was für Wechselwirkungen geben.
    Vielleicht sollte sich Google man an die eigene Nase fassen und endlich Patche/Verbesserungen für ältere Android-Versionen bereitstellen – aber was kümmert mich meine Software von gestern….
    Aber wehe, MS gibt die Unterstützung für XP oder 7 oder 8 zu früh auf, dass ist MS wieder der Böse.
    Kann es ein, dass hier mit unterschiedlichem Maß gemessen wird???

  11. Auf dem Rücken der Nutzer ausgetragen, eeeh? Wie viel Zeit soll Microsoft denn sonst noch lassen, man hat sich in den letzten Jahren nicht gerade mit Ruhm bekleckert. Das tut jetzt am Anfang etwas weh, wenn Microsoft die neue Realität anerkennt, dann sind es gerade die Nutzer die davon profitieren.

    Bis es soweit ist, benutze ich einfach weiter meinen XP Rechner und infiziere euch alle 😛

  12. Ist wie beim Bahnstreik – zwei Seiten streiten sich, und der Benutzer ist der blöde, egal, wie toll die Argumente sind. Ich bin immer sehr dankbar, das Person/Firma X für mich entschieden hat, dass ich jetzt für den Druck auf Person/Firma Y zuständig bin… ich rufe jetzt gleich bei Microsoft an und beschwere mich, bestimmt wird sie das zum Umdenken bringen und der nächste Bug wird viel schneller gefixt…

  13. Google is evil! ?

  14. @DanielJackson85 welche nicht geschlossene Lücke meinst du?

  15. Von Google vlt die schönste Art, sich noch im Nachhinein für die Scroogled-Kampagne zu bedanken.

  16. User sind in jedem Fall von der Lücke betroffen, ob Google sie veröffentlicht oder nicht.
    Microsoft tut so, als ob erst mit Veröffentlichung einer Sicherheitslücke Gefahr bestehen würde. Aber das ist natürlich Quatsch. Man muß immer davon ausgehen, daß die Lücke auch anderen bereits bekannt ist und ausgenutzt ist.

    Problematisch ist vielmehr, daß es Microsoft wichtiger ist, den Patchday einzuhalten, anstatt eine bekannt Lücke, zu der sie einen Patch haben, zu schließen. Damit riskiert Microsoft die Sicherheit ihrer Kunden.
    Im Fall letztes Wochenende hatten sie ja anscheinend den Patch fertig, aber der Patchday war halt noch nicht ran.
    Wenn hier jemand auf Kosten der Kunden agiert, ist es m.E. Microsoft.

  17. Nennt man auch Scroogled 2.0

  18. Erinnert sich noch jemand an den Master Key Exploit in Android ? Um das Problem zu beheben hat Google 4 Monate gebraucht.

    Es gibt nun mal Fehler die kann man nicht in 90 Tagen lösen. 2 Tage vor Patch zu veröffentlichen ist einfach unterste Schublade.

  19. @esque:
    also im Beitrag steht, dass MS nacharbeiten mußte – nichts von wegen, dass man den Patchday einhalten wollte.
    Und wenn man vorschnell was veröffentlicht und den Patch dann hinterher zurückziehen muß ( wie Ende 2014) ist das Gejammer auch wieder groß.
    Ich habe keine Ahnung von der Materie – aber evtl ist der Aufwand ja größer, als manch einer hier vermutet – also Lücke analysieren, beheben – und den Patch auch noch unter verschiedenen Konstellationen testen

  20. Sollte von MS doch in 3 Monaten schaffbar sein, eine Lücke ohne weitere Bugs zu schließen – schließlich sparen sie sich ja die Zeit um solche Lücken zu finden! xD

  21. @dischue: Die Lücke ist gepacht, das update heißt Android 4.4… Die Hersteller verteilen es blos nicht!

  22. ..dumm gelaufen, muss man sich eben ein neues Gerät kaufen.
    MS muss aber alles patchen – ob XP, 7 oder 8? ob Server oder sonstwas?
    Irgendwie wäre es doch nett, wen Google die „älteren“ Systeme auch noch unterstützen würde. Wenn Google aber entscheidet, das nicht zu machen, dann ist das also ok? Schließlich könnte ja die Community was machen…
    Vielleicht könnte das MS genau so machen, sollen doch die PC Hersteller für einen Patch sorgen…? (Schön für die, die den PC selbst zusammenstellten…)
    Mag nicht ganz das Selbe sein – trotzdem. Googles Antwort ist also : nehmt das aktuelle System – oder kauft neu. Ansonsten sind die Hersteller schuld.
    So wäscht man seine Hände in Unschuld

  23. Wieso hilft Google Microsoft ? Sollen die doch an den Bugs eingehen, oder stören die ganzen Zombie-Rechner der Windows DAU’s???

  24. M$ hat noch sehr viele OS aktiv um Patches dafür zu enwickeln und zu testen, allerdings sollten und müssen die genügend Programmierer, Testsoftware und Tester haben um dies abzudecken.

    Schade das es eine solche Sicherheitsinitiative nicht schon ein Jahr früher gab, dann hätte M$ bei XP noch reichlich an Patcharbeit vor sich gehabt. So hat man XP aus dem Support genommen und teils ein Jahr alte Lücken offengelassen (nur um nacher mit den Sicherheitslücken für Umstieg auf Win8 zu werben).

  25. @Denniss:
    so macht Google es doch auch – nur dass Android Versionen wesentlich schneller veralten, als Windows. Patch? kann sein, kann auch sein, das Google sagt: installiert die neueste Version – und wenns der Hersteller nicht ermöglicht, dann eben Pech.

  26. @ Jakob
    Windows 7 hat auch ein Patch bekommen auch wenn es älter als 2 Jahre ist und ich muss keine neue Hardware kaufen 😉 bei Gogol ist kein Patch vorhanden für 4.3 und muss neue Hardware nach 1,5 Jahren kaufen. Das währe so ob Windows 8 kein Patch bekommt sondern nur Windows 8.1. 😛
    Also Hirn einschalten Zellen bemühen dann kommentieren, aber naja was kann man von einem Android belasteten News Seite auch an Kommentaren erwarten.

  27. @dischue: Es wäre schön gewesen, wenn du meinen Beitrag genau gelesen hättest. Ich hatte explizit vom Patch vom Wochenende geschrieben, nicht vom neuen Patch.

    Und die Hinweise darauf, daß Google Sicherheitslücken auch nicht immer zeitnah schliesst ist zwar berechtigt, aber wohl kaum geeignet, Microsofts Fehler abzuschwächen.
    „Der macht das doch auch“ war schon im Sandkasten ein schwaches Argument 😉

  28. @esque:
    ok, da war mir der Bezug tatsächlich nicht ganz klar.Was mir nur ein wenig gegen den Strich geht ist der Umstand, dass es hier wohl viele für selbstverständlich zu halten scheinen, dass MS eine jede Sicherheitslücke in 90 Tagen schließen kann und das auch noch für die diversen Systeme.
    Google wird hier als der weisse Ritter dargestellt.
    Ich habe nichts dagegen, wenn man öffentlich macht, das es bei MS eine Sicherheitslücke gibt – aber muß man dazu gleich ein Exploit veröffentlichen? hätte nicht erstmal der dezente Hinweis genügt, dass bereits 3 Monate um sind aber noch kein Patch da ist?

    Das Sicherheitslücken bei Google die bei MS/Windows nicht entschuldigen, ist klar – aber wie würde Google reagieren, wenn MS da genau so vorgehen würde?
    Ich wage nicht zu beurteilen, ob so ein Patch wirklich so einfach und schnell zu bewerkstelligen ist, wie hier einige annehmen.
    So wird bei MS ganz selbstverständlich davon ausgegangen, das jedes noch so alte OS (also mindestens die letzten 3 – was bei Windows einen Zeitraum von ca. 10 Jahren ausmacht – und jede noch so exotische Hardware) untertützt wird – während man bei Google mehr oder weniger leicht achzelzuckend zur Kenntnis nimmt, dass man eben neu kaufen muß, wenn das System 1 oder 2 Jahre alt ist. Das ist das was ich irgendwo mit unterschiedlichem Maß messen meinte.
    Da Windows auf viel mehr (unterschiedliche) Systemen läuft hat es MS in dieser Hinsicht wahrscheinlich schwerer, als Android oder Apple.
    Das die Fehler des einen nicht die des anderen entschuldigen ist klar – und sicher ist MS auch kein Heiliger, kann aber nicht schaden, mal ein wenig die Verhältnisse mit zu betrachten.

  29. @esque:
    da war mir dann Dein Bezug tatsächlich nicht so ganz klar.
    Ich wollte auch nicht MS Versäumnis oder die lange Dauer mit den Versäumnissen Googles entschuldigen, das eine entschuldigt nicht das ander. Evtl wäre es aber zunächst besser gewesen, man hätte öffentlich dezent darauf hingewiesen, dass es immer noch keine Patch gibt, statt gleich noch ein Exploit zu veröffentlichen.

    Was mir ein wenig gegen den Strich geht ist, das manch eine(r) so tut, als wäre Google der weiße Held und Sicherheitslücken gebe es nur bei MS.
    Von MS wird irgendwie wie selbstverständlich erwarten, dass die letzten 3 OS in all ihren Unterversionen (also ca 10 Jahre) noch updates und Patche erhalten während man bei Google/android lediglich achselzuckend zur Kenntnis nimmt, das man nach 1-2 Jahren was neues Kaufen muss, weil es sonst keine Updates mehr gibt.
    Ich weiß nicht, ob es wirklich so trivial ist, so eine Patch zu erstellen und ob es da nicht eine Menge zu beachten gibt – gerade wg. der vielen OS-Versionen und der unüberschaubaren Vielfalt an Hardwarezusammenstellungen. Da haben es Android und Apple doch leichter mit ihren überschaubareren Hardware-plattformen.

    Man muss mit MS nicht gerade Mitleid haben – aber vielleicht sollte man das alles mal in Relationen sehen.

  30. @dischue,
    lass die, die über Microsoft motzen ruhig weitertrollen, und ignoriere sie einfach.
    @an den Rest, die über Microsoft herziehen, und Google in den Himmel loben. Wenn ihr noch nie ein Betriebssystem samt eigenen entwickelten Kernel (nichts da Linuxkernel oder sonstige Unix basierten Kernel) komplett fehlerfrei und komplett ohne Sicherheitslücken entwickelt und geschrieben habt. Und sonst keine Ahnung von Betriebssystem- und Softwareentwicklung habt, dann haltet einfach mal den Mund.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.