Windows 8.1-Lücke: Microsoft zählt Google an

Vor nicht allzu langer Zeit kommunizierte Google eine Sicherheitslücke in Windows 8.1-Systemen. Ein Google-Mitarbeiter fand diese, gab dem Redmonder Unternehmen 90 Tage Zeit und veröffentlichte dann Details. Das Problem dabei: zum Zeitpunkt der Veröffentlichung war die Lücke nicht geschlossen, was Microsoft dazu brachte, sich dazu zu äußern.

microsoft_logo

Zwar habe sich Google an den angekündigten Zeitplan erhalten, dennoch kommt die Offenlegung der Lücke den nahe, was man wohl mit dem „Zeigefinger zeigen“ beschreiben könnte. So wusste Google, dass der Patch unmittelbar bevorsteht, dennoch habe man sich entschieden, die Lücke vorab zu kommunizieren, was unter Umständen Benutzer der Software noch mehr gefährden könnte. Microsoft teilt mit, dass man glaubt, dass das Richtige für Google nicht immer das Richtige für Kunden ist. Klartext: man fordert Google auf, den Schutz der Kunden zum gemeinsamen Hauptziel zu machen.

Bei Google Security Research wurde zwischenzeitlich diskutiert, ob man eine solche Lücke, die Millionen von Nutzern betrifft, tatsächlich öffentlich machen sollte. Diese Diskussion gab es bereits, als Google die 90-Tage-Frist einführte.

Dass der Patch etwas länger brauchte, erklärt Microsoft mit Testläufen, die man durchführen musste, um negative Auswirkungen des Patches auf die Umgebungen der Kunden zu verhindern.

Eure Meinung zum Thema? Knallhartes „Pistole auf die Brust setzen“ und die 90 Tage-Regel einhalten, oder doch eher im Sinne des Kunden Stillschweigen bewahren, bis der Patch veröffentlicht wurde?

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

49 Kommentare

  1. Der Link will irgendwie nicht ^^

  2. 90 Tage warten, dann veröffentlichen ganz klar.

    Bei sowas darf es keine Gnade geben, wenn Microsoft den Patch nicht schnell genug entwickelt bekommt, sollten Sie sich Gedanken über die Arbeitsabläufe machen.

  3. Google soll sich mal an die eigene Nase fassen und den Druck an ihre Partner/Hardware-Hersteller weitergeben, die in Android keine Lücken schliessen und keine neuen Firmwaren raus geben. Da sind unzählige Smartphones mit großen Lücken im Umlauf, wo Google nichts dagegen macht!

  4. Marco Fischer says:

    Die Pistole auf die Brust ist im richtigen Maß ja nicht verkehrt, sonst passiert am Ende gar nichts. Aber dann sollte man vielleicht eher über zwei Stufen nachdenken…90 Tage…dann nochmals 30/60 Tage und danach erst die Veröffentlichung. Gerade beim Qualitätsmanagement können ja noch Dinge auffallen und Micrsoft hat wegen fehlender Überprüfung in der jüngsten Vergangenheit ja schonmal 2-3 Patches zurückziehen müssen.

  5. WTF? Ich hätte ihnen 10 Tage gegeben! Von einer Firma wie MS kann man erwarten dass sie in ein paar Stunden einen popeligen Sicherheitspatch auf die Reihe kriegen. Wenn ihnen die Sicherheit der Kunden am Herzen läge, hätten sie das auch getan. Selbst Debian ist da schneller.

  6. Gab es von MS denn Feedback über den Entwicklungsstand an Google? Wenn M$ sich kurz bei Google gemeldet hätte, dass der Patch am 13.01. veröffentlicht wird, hätte Google wohl die Füße stillgehalten. Oder etwa nicht?

  7. @Bachsau: ich hoffe, dass ist nicht dein Ernst!?

  8. Generell bin ich ja für dieses Pistole auf die Brust setzen, aber in dem Fall war das einfach arschig. Wozu setzt man die Pistole auf die Brust, wenn man weiß, dass der andere doch längst handelt? Wenn Google wusste, dass der Patch in Entwicklung ist und in Kürze kommt, hätten sie die Füße still halten müssen, denn die Veröffentlichung ist dazu da, um den anderen zum handeln zu bewegen und das war hier längst geschehen. Google macht sich immer unsympathischer… Soviel zu »Don’t be evil«

  9. @eltomato,
    er hat garantiert null Ahnung von Programmierung, und wenn er programmiert, sind seine Programme bestimmt nicht so komplex wie Windows, Microsoft Office und anderen komplexeren/größeren Programmen.

  10. Wenn man jetzt Microsoft statt 90 Tage vielleicht 120 Tage Zeit gelassen hätte, dann würde beim nächsten Mal eh mit 120 Tagen gerechnet werden..
    und dies geht dann so weiter

  11. Ich denke nicht, dass noch länger zu warten „im Sinne des Kunden“ wäre.
    Nur weil Google die Lücke damals entdeckt hat, heißt nicht zwangsläufig, dass nur Google sie seit Monaten kennt und sonst niemand. Im „Sinne des Kunden“ ist es, dass Patches zeitnah zur Verfügung stehen.
    Eine Firma wie Microsoft sollte dazu in der Lage sein. Wenn das länger als drei Monate dauert, stellt sich eher die Frage, ob sie nicht wollen oder nicht dürfen?
    Dabei ist zusätzliche, öffentliche Aufmerksamkeit sicher nicht verkehrt. Google hat alles richtig gemacht.

  12. @Bachsau: Schon mal den MS Quellcode gesehen? Schon mal die Größe eines Quellcodes für ein ganzes System realisiert? Nach der Aussage… denke ich nicht. In einem Betriebssystem spielen alle Komponenten eine gewisse Rolle und werden von vielen weiteren Komponenten verwendet. Wenn sich jetzt Komponente X wegen einem Patch anders verhält, haben A,B,C und Z ein Problem, weil sich ein erwarteter Input vielleicht ganz gewaltig verändert. Dies beeinflusst dann Komponenten I,J,K,L und M, die auf den vorigen aufbauen uswusw. Dann läuft plötzlich was entscheidendes von MS oder einem anderen Hersteller nicht mehr. 10 Tage, um das alles zu prüfen? Guter Witz!

  13. 90 Tage sind für ein Unternehmen wie Microsoft eigentlich genügend Zeit, wer innerhalb von 3 Monaten mit seiner Entwicklungsabteilung nicht auf eine Sicherheitslücke reagieren kann, dem sind doch seine Kunden eh egal. Ewiges Warten birgt ja auch das Risiko, dass die Lücke nochmal, diesmal aber vom Schwarzmarkt, entdeckt und ausgenutzt wird.

    Ich finde es unpassend von „Pistole auf die Brust setzen“ zu reden, während Microsoft bewusst mit dem Sicherheitsrisiko der Kunden spielt. 3 Monate. Notfalls muss man das halt zunächst grob patchen oder gar die Funktion kurzzeitig deaktivieren und Kunden informieren.

    Hier hat sich Caschy schon ziemlich von Microsoft und ihrem „Denkt doch an die Kunden“ blind machen lassen, während Microsoft letztendlich vor allem schlechte PR vermeiden will. Es ist ja nicht so, dass eine Sicherheitslücke nur einmal gefunden wird …

  14. @geeg: Schreib doch nicht so einen Unsinn. Die Pistole sind meine Worte, die nicht mal negativ besetzt sind.

    „Hier hat sich Caschy schon ziemlich von Microsoft und ihrem “Denkt doch an die Kunden” blind machen lassen, während Microsoft letztendlich vor allem schlechte PR vermeiden will.“

    Ich schreibe, was Microsoft kommuniziert, behaupte doch nicht, dass es meine Meinung ist. Also: lesen, Meinung zum Thema als solches bilden und nicht meine Meinung interpretieren.

  15. Zwar habe sich Google an den angekündigten Zeitplan GEHALTEN, dennoch kommt die Offenlegung der Lücke DEM nahe, was man wohl mit dem “Zeigefinger zeigen” beschreiben könnte.

  16. @caschy: In meiner Wahrnehmung ist „Pistole auf die Brust setzen“ schon sehr anrüchig besetzt. Ebenso wie „knallhart“ statt „strikt“ oder „konsequent“. 😉 Aber dann habe ich dich wohl falsch verstanden. Bei deinem „eher im Sinne des Kunden Stillschweigen bewahren“ sieht es halt schon so aus, als wärst du für diese Option.

    Fix mal den Link, bitte, danke. Da hängt noch ein halber Absatz drinnen.

  17. @geeg: der Link wurde vor meinem Kommentar bereits gefixt, hängt vtl. noch im Cache. Zur Sache: Pauschal ist mir pers. A oder B zu kurz gedacht, kommt wohl auf den Fall an.

  18. Hier sollte man generell wahrscheinlich nicht alles Bugs verallgemeinern, sondern von Fall zu Fall unterscheiden. Es sollte mit Veröffentlichung gedroht werden, damit das Unternehmen sich nicht zu lange Zeit lässt. Bei gravierenden Bugs, brauch es unter Umständen aber allein 30 Tage zum Testen. Wenn sich dann noch ein Problem auftut kommt man schnell ans Ende der 90 Tage.

    Hier hilft eigentlich nur Transparenz der Abläufe. Vielleicht wäre ein System zum Melden und zur Einsicht des aktuellen Status für den Melder sinnvoll. Hier könnte mann dann auch nachfragen oder Kommentare zum Bug verfassen. So hätten alle Beteiligten kommunizieren können, dass der Bug so gut wie behoben ist und lediglich noch das Testing aussteht.

    War vielleicht etwas vorschnell von Google, aber diese 90 Tage Praktik ist ja vornehmlich wegen solcher Konzerne wie Microsoft ins Leben gerufen worden, da diese sich einfach – trotz Meldung – ewig für Bug Fixes Zeit gelassen haben. Die berüchtigte zweiseitige Medaille 😉

    @ Bachsau: Das ist so ziemlich das traurigste was ich seit langem lesen durfte…

  19. @Daniel Reimer: Wieso witz? Wir reden hier ja nicht vom refactoring ganzer Systeme, sondern von einem Sicherheitspatch. Das sind in der Regel ein bis 5 Zeilen fehlerhafter Code oder eine zusätzliche Überprüfung, die sonst keine Nebenwirkungen hat, außer für den Exploit. Die Gefahr die durch so eine offene Lücke verursacht wird ist in jedem Fall höher zu bewerten als jedes kleine Problem das mit größter Wahrscheinlichkeit nicht auftritt. Bei sowas reichen Schnelltests.

  20. Es fällt mir schwer, eine 90-Tage-Frist als „Pistole auf die Brust setzen“ zu definieren. 90 Tage!
    Wer eine kritische Lücke innerhalb von 90 Tagen nicht zu schließen vermag, der gibt dem Thema einfach nur zu wenig Priorität – und unter dem Aspekt, davon bin ich fest überzeugt – würde eine Abkehr Googles von dieser Politik mehr Gefährdung für die Nutzer bedeuten als eine Veröffentlichung, nach der sich der Kunde selbst absichern kann, wenn es schon der Software-Anbieter seines Vertrauens nicht tun mag.

  21. @Bachsau,

    da spricht ein Kenner.. 😀

  22. Ich denke, wenn ein Hersteller Google mitteil, das man z.B. nächste Woche einen Patch für die Lücke veröffentlicht, dann sollte Google noch so lange warten. Ansonsten sollten sie aber die 90 Tage Frist knallhart durchziehen.

  23. @Bachsau das würde ich nicht so pauschal sagen. Es kann durchaus vorkommen, das sich durch einen Sicherheitspatch z.B. das Verhalten einer öffentlichen API ändert und in dem Fall muss man schon sehr gründlich testen, weil einem sonst eine Menge Entwickler aufs Dach steigen.

  24. Niemand weiß ob Microsoft Google darüber informiert hat das der Patch kurz bevor steht. Insofern doppelt gefailed und selbst Schuld.

  25. Wie bei so vielem im Leben gilt, dass man sich da eher den Umstaenden anpassen sollte und eine Pauschalisierung nichts bringt.

    Bei Google, Microsoft, Samsung, Apple und Konsorten, geht es weniger um den Schutz ihrer Benutzer als viel mehr um das Image und die Kundenbindung. Wie kann man wohl am besten Kunden an sich binden – natuerlich in dem man Konkurrenz anschwaerzt.

    Es ist doch so, dass diese Fehler, werden Sie nicht oeffentlich bekannt, nur von einer Handvoll (zugegeben eine immer groesser werdende Hand) ausgenutzt werden koennen. Diese Rate steigt aber nach einer Veroeffentlichung um ein Vielfaches.

    Was sollte man tun: besser erstmal Stillschweigen bewahren und das im Hinterzimmer klaeren – zum Schutz aller.

  26. Es ist spannend, was hier teilweise zu lesen ist – und haarsträubend. Da fordert einer, dass MS einen Patch gefälligst binnen 10 Tage zu veröffentlichen habe und wenn man das nicht schaffen würde würde MS kein Interesse an den Kunden haben.

    Ich weiß nicht, wieviel Zeilen Code Windows derzeit umfaßt, es dürften ein paar mehr sein. Und scheinbar ist nicht jedem klar, wie komplex ein Betriebssystem ist, wie komplex schon ein „einfaches“ Word ist. Mit einfach mal ein paar Zeilen Code ändern ist es nicht getan und ich würde jeden Softwarehersteller meiden, der genau das tut. Ändern und testen lautet die Devise. Denn was passiert wenn man das nicht hinreichend tut, hat uns Apple im vergangenen Jahr vorgeführt. iOS 8 veröffentlicht, festgestellt, da sind Bugs drin, ein Patch mit heisser Nadel gestrickt, iPhone6 mehr oder weniger zum schweigen gebracht, Patch zurück gezogen. Und auch Microsoft hat in der Vergangenheit schon den einen oder anderen Patch wieder zurück ziehen müssen, weil selbiger zwar ein Problem behob, dafür ein anderes produzierte. Ergo: bitte ausfühlich testen bevor es neue Probleme gibt.

    Soll man Scherheitslücken veröffentlichen? Die Frage kann sich im Grunde jeder selbst anhand eines Beispieles beantworten: Man stelle sich vor, man geht aus dem Haus und vergißt die Haustür zu schliessen. Und das sieht jemand und postet das auf Facebook, Twitter und sonst wo. Wer der hier anwesenden fände es denn witzig, wenn ihn das beträfe, wenn es die eigene Haustür wäre?

    Sicherhietslücken nach dem Fix zu veröffentlichen halte ich für legitim und auch wichtig, damit die Hersteller angespornt bleiben eine vernünftige Qualitätssicherung durchzuführen.

  27. Reiner Zufall says:

    Man sollte mit MS genau so umgehen, wie MS mit seinen Kunden umgeht! Wenn dazu eine Pistole gehören sollte, dann wäre ich gerne bereit, diese zu halten… ;-))
    Seit Jahrzehnten quält dieser Konzern durch seine Marktmacht mit minderwertigen Betriebssystemen bedauernswerte Sysadmins.
    Dieser ganze Windowsschund ist so voller Macken, dass mit den Jahren riesige Knowledgebases entstanden sind, um wenigstens die übelsten Designklippen zu umschiffen….

  28. Was der @skyteddy sagt, klingt nicht ganz schlecht.

  29. @caschy Der link zeigt ins Nirwana
    @Marco Matthes: dem kann ich mich nur anschließen, nicht Google, sondern MS sollte seine Arbeitsabläufe überarbeiten. Wenn der Bug so gravierend ist, dass er eine nennenswerte Anzahl an usern gefährdet, sollte er in 3 Moaten eigentlich gefixt sein.

  30. @Christian Rohweder, der Vergleich mit der Haustür hinkt. Sehr sogar. Ich würde es eher damit vergleichen, wenn jemand einen Konstruktionsfehler bei einem Auto findet und dieses könnte Menschenleben kosten, sollte dies veröffentlicht werden oder sollten die AutofahrerInnen bis zum Rückruf im unklaren gelassen werden?

    Meiner Meinung nach sollten Sicherheitslücken schnell veröffentlicht werden. Der Glaube, dass eine unveröffentlichte Sicherheitslücke sicherer ist halte ich persönlich für naiv. Vor allem in einer Zeit, wo solche Lücken von Unternehmen verkauft werden und gar nicht mehr an die EntwicklerInnen gemeldet werden.

  31. @Christian: Hinkende Vergleiche bringen uns auch nicht weiter. Eine Haustüre ist nichtmal ansatzweise ein guter Vergleich und ein Informieren fehlt auch. Zumal eine Haustüre vom Melder direkt geschlossen werden kann.

    Eine Firma muss zeitlich schnell auf eine Sicherheitslücke reagieren können. Da ist es egal ob Microsoft Milliarden von Zeilen Code verwaltet. Was ist, wenn eine Sicherheitslücke nicht auf den legalen Weg gemeldet wird, sondern am Schwarzmarkt dem Meistbietenden verkauft und dann aktiv ausgenutzt wird? Will man dann ernsthaft seine Kunden 3 Monate im Regen stehen lassen und das ganze am Besten noch stillschweigen, damit kein Trittbrettfahrer aufspringt? Firewalls und Antivirus sind auch keine ernsthaften Antworten mehr auf Malware, die ist mittlerweile viel zu flexibel.

    Ja, Microsofts Codebase ist groß. Entsprechend haben sie aber auch Manpower und der Code sollte gut dokumentiert und modular aufgebaut sein. Sicher ist das Wunschdenken, aber innerhalb von 90 Tagen im Internetzeitalter nicht auf eine Lücke reagieren zu können ist eine Bankrotterklärung für ein führendes Betriebssystem.

  32. @Christian Rohweder: Natürlich soll man Sicherheitslücken veröffentlichen. Dein Beispiel hinkt, wenn wir dabei bleiben ist das Scenario in etwa so, dass Du herausfindest, dass sich das Schloß Deiner Haustür mit einem Klopfzeichen öffnen lässt, Dann gibst Du dem Hersteller 3 Monate Zeit, das Problem zu beheben. Nach Ablauf der Frist verkündest Du per Aushang (weil Du nicht alle Besitzer dieses Schloßßtyps kennst) den Fehler, damit sich die Hausbesitzer darauf einstelllen können (Neues Schloß ohne Sicherheitslücke anschaffen z.B.). Im Zweifel kennen die Banden, die gerade die Gegend unsicher machen die Lücke nämlich schon.

  33. Und ja, wenn es eine Sicherheitslücke ist, die so gefährlich ist, dass von einer Veröffentlichung Gefahr ausgeht, darf man das soweit verallgemeinern und den Anspruch haben.

  34. Eine richtige Umfrage, ohne tendenziöse Fragestellung, wäre nett 🙂

  35. finde das Vorgehen von Google nicht ganz fair. Klar eine Frist braucht es, aber offenbar wussten sie ja von der bevorstehenden Behebung, da hätten sie auch noch warten können.

    Behebt denn Google alle ihre Fehler in 90 Tagen?

  36. Diese ganzen „Patchdays“ halte ich für wenig sinnvoll. Lücken sollten dann geschlossen werden wenn sie bekannt sind und nicht wenn ein bestimmter Termin erreicht wurde. Sobald eine Lücke bekannt ist muss davon ausgegangen werden, dass diese möglicherweise auch schon jemand kennt, der böses damit vor hat. Je früher die Lücke geschlossen ist desto besser.

    Ich nutze Microsoft-Produkte schon lange nicht mehr aber wenn ich mich nicht täusche hat es schon Fälle gegeben wo Microsoft von seinem Plan abgewichen ist. Warum haben sie das nicht hier auch getan? Google hatte doch den Termin weit im Voraus angekündigt. Die 90 Tage waren das obere Limit. Sie hätten den Patch ja auch schon z.B. innerhalb von 30 Tagen verteilen können…

  37. Diese Patchdays wird es ab Windows 10 angeblich nicht mehr geben, sondern es wird dann gepatcht, wenn ein Patch zur Verfügung steht.

  38. Pest und Cholera
    Ich bin für eine 30-Tage-Frist für jede Lücke insbesondere auch in Android 2.x, Adroid 3.x, und Android 4.x Versionen.
    Google sitzt mit seiner eigenen verfehlten Sicherheits-Update-Politik mächtig im Glashaus. Wegen 90 oder 92 Tage zu pokern ist von beiden Seiten kleinlich. Wer glaubt denn das MS wirklich am 11.01. noch nicht fertig war? Und warum setzt Google eine Frist die nicht an einem Dienstag endet? Das sind doch beides Brandstifter die im selben Benzintank sitzen.
    Und dass Google meine Daten auf meinem MS-Rechner angezündet hat, verzeihe ich Google auch nicht. Google ist evil – aber das ist ja nicht neu. Und MS war noch nie besser – aber das ist auch nicht neu.

  39. @Bachsau:
    1. weißt du doch gar nicht ob es sich um einen 5-Zeilen Patch handelt.
    2. tangierst du damit vermutlich Millionen User, weshalb MS die Patches wohl genaustens prüft, bevor sie ins rollout gehen.

    Ich kann zwar nicht für Microsoft sprechen, aber ich selbst arbeite in einer Firma die u.a. ein Buchungssystem für eine große deutsche Fluggesellschaft programmiert. Und alleine da werden Patches und Updates sehr genau geprüft (und terminiert), bevor sie ins Livesystem gehen.
    Konsolidiert werden bei einem Ausfall aller Microsoft-Systeme (oder auch nur einem kleinen Teil davon) aber wohl sehr viel mehr finanziellen Schäden entstehen, als wenn du zuhause noch 2-3 Wochen länger auf den Patch warten musst.

  40. Hat sich überhaupt irgendwer hier mit der Lücke auseinander gesetzt?
    Richtig ist, dass man durch diese Lücke Zugriff auf Funktionen bekommen kann, die eigentlich nur ein Administrator-Account ausführen kann.
    Falsch ist, dass diese Lücke kritisch (Im Bereich Alarmstufe Rot) ist.

    Denn diese Lücke lässt sich nur unter Bedingungen ausnutzen, die eh fragwürdig sind. Die Person muss von der Lücke wissen und somit ein höheres technisches Verständnis haben. Die Person braucht Zugriff auf einen Account am besagten PC, der übernommen werden soll. PHYSISCHEN Zugriff… Remote reicht da nicht aus.

    Wenn also jemand, aus irgendeinem Grund unbeaufsichtigten physischen Zugriff auf meinen Rechner hat, dann habe ich ein ganz anderes Problem, als dass Microsoft die Lücke erst nach 92 schließt.

    Deswegen hat Microsoft die Lücke nicht priorisiert, weil sie lediglich theoretisch kritisch ist, aber in keinem Fall realistisch zu einem Problem führen könnte.
    Aber Hauptsache erstmal meckern.

  41. @Marco das tut hier gar nix mehr zur Sache, merkste? Es geht um das Grundprinzip wie man mit Sicherheitslücken zukünftig umgeht, sobald diese von Irgendwem entdeckt werden und ob 90 Tage lange genug sind zum patchen.

  42. 90 Tage warten, dann veröffentlichen ganz klar.

  43. Es gibt gute Gründe dafür, sich an Ankündigungen zu halten. Hat etwas mit Glaubwürdigkeit zu tun, liebes MS Team.

    Konsequent zu sein ist nicht immer einfach, es benötigt Rückgrat. Richtig finde ich es allerdings. Weiterhin sind 90 Tage mehr als genug – mir kann niemand erzählen, MS würde keine automatisierten SW Tests betreiben.

  44. Wer gesetzte Fristen Schwammig behandelt, egal welche Seite, ist unglaubwürdig.
    A la dem Motto: wir (ms) haben ja noch 30 Tage zeit, da google eh eine neue Frist einräumt.

  45. Bei Microsoft stimmen die Prozesse hinten und vorne nicht. Kommt auch nur Scheisse Software raus. Haben die überhaupt Buildprozesse oder baut das jeder von Hand ????

  46. @Marco Kaiser:

    Wenn die Lücke eh unwichtig wäre, hätte Microsoft ja auch keinen Grund sich aufzuregen. Durch die Lücke kann jeder normale Nutzer Admin-Privilegien erlangen. Das ist sehr wohl kritisch und lässt sich sehr wohl von Malware ausnutzen, auch remote.

    „Die Person muss von der Lücke wissen und somit ein höheres technisches Verständnis haben.“ ← Du hast keine Ahnung, von was du redest, oder denkst du echt, Lücken werden von Hand vom Endanwender ausgenutzt? Und erklär mir mal, wozu physischer Zugriff erforderlich, wenn man lediglich ein Skript ausführen muss?

  47. Ich kenn‘ das eher als „Stinkefinger zeigen“. Frag mal Effenberg, der ist vom Fach.

  48. „So wusste Google, dass der Patch unmittelbar bevorsteht […]“

    Wussten sie das denn wirklich? Also hat Microsoft angekündigt, dass der Patch zeitnah erscheinen würde? Oder hat man Google nur zum Zeitpunkt des Hinweises, dass es eine Sicherheitslücke gibt, gesagt, dass man sich darum kümmert?

    Microsoft wusste, wann die Frist abläuft. Und Microsoft wusste, dass sie den Patch nicht zum Fristablauf liefern können. Eine Meldung an Google, dass man die Frist nicht einhalten kann, der Patch aber umgehend nach Fertigstellung ausgeliefert wird, wäre in meinen Augen völlig ok gewesen. Dann darf man sich zurecht darüber beschweren, dass Google die Sicherheitslücke publik gemacht hat.

    Ich vermute aber, dass Microsoft genau das nicht getan hat. Google mag vielleicht gewusst haben, dass ein Patch in Arbeit ist, nicht aber, dass dieser Patch nicht fristgerecht ausgeliefert werden kann. Da würde ich mir dann auch denken „Aha, die halten die Frist nicht ein. Denen scheint es weitestgehend egal zu sein. Dann veröffentlichen wir die Details zur Sicherheitslücke halt, um den Druck zu erhöhen“.

    Meiner Meinung nach hat Google nichts falsch gemacht. Es wurde bereits mehrfach erwähnt: Wer eine Frist setzt, sollte sie auch selbst einhalten, um glaubwürdig zu bleiben.

    Und was Microsoft betrifft: Der Code von Windows ist riesig, mehrere zehn- oder gar hunderttausend Zeilen finden sich dort. Da die Sicherheitslücke zu finden und zu stopfen, ist nicht ohne weiteres möglich. Manpower hin oder her. Erst einmal muss man die betreffenden Codezeilen finden – das dauert schon. Dann muss man ermitteln, weshalb es zur Sicherheitslücke kommt – auch das kann je nach Komplexität dauern. Danach muss man eine Lösung finden, um dieses Problem zu beheben – Dauer ebenfalls je nach Komplexität. Das ist wie das Bug-Hunting im Quellcode: Häufig ist es ein kleiner, unscheinbarer Fehler (ein fehlendes Semikolon zum Beispiel) und trotzdem sucht man sich stunden- oder gar tagelang ’nen Wolf, bevor man das Problem findet und beheben kann.

    Nichtsdestotrotz sollte Google bei der Politik bleiben, Sicherheitslücken nach Fristablauf publik zu machen, um den Druck zu erhöhen. Allein schon, um eben erwähnte Glaubwürdigkeit aufrecht zu erhalten. Sonst würde sich in Zukunft keiner mehr um die Frist kümmern, da es ja keine Konsequenzen haben würde.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.