Windows 8.1-Lücke: Microsoft zählt Google an
von caschy | 49 Kommentare
Vor nicht allzu langer Zeit kommunizierte Google eine Sicherheitslücke in Windows 8.1-Systemen. Ein Google-Mitarbeiter fand diese, gab dem Redmonder Unternehmen 90 Tage Zeit und veröffentlichte dann Details. Das Problem dabei: zum Zeitpunkt der Veröffentlichung war die Lücke nicht geschlossen, was Microsoft dazu brachte, sich dazu zu äußern.
Zwar habe sich Google an den angekündigten Zeitplan erhalten, dennoch kommt die Offenlegung der Lücke den nahe, was man wohl mit dem „Zeigefinger zeigen“ beschreiben könnte. So wusste Google, dass der Patch unmittelbar bevorsteht, dennoch habe man sich entschieden, die Lücke vorab zu kommunizieren, was unter Umständen Benutzer der Software noch mehr gefährden könnte. Microsoft teilt mit, dass man glaubt, dass das Richtige für Google nicht immer das Richtige für Kunden ist. Klartext: man fordert Google auf, den Schutz der Kunden zum gemeinsamen Hauptziel zu machen.
Bei Google Security Research wurde zwischenzeitlich diskutiert, ob man eine solche Lücke, die Millionen von Nutzern betrifft, tatsächlich öffentlich machen sollte. Diese Diskussion gab es bereits, als Google die 90-Tage-Frist einführte.
Dass der Patch etwas länger brauchte, erklärt Microsoft mit Testläufen, die man durchführen musste, um negative Auswirkungen des Patches auf die Umgebungen der Kunden zu verhindern.
Eure Meinung zum Thema? Knallhartes „Pistole auf die Brust setzen“ und die 90 Tage-Regel einhalten, oder doch eher im Sinne des Kunden Stillschweigen bewahren, bis der Patch veröffentlicht wurde?
Wird geladen ...
Es fällt mir schwer, eine 90-Tage-Frist als „Pistole auf die Brust setzen“ zu definieren. 90 Tage!
Wer eine kritische Lücke innerhalb von 90 Tagen nicht zu schließen vermag, der gibt dem Thema einfach nur zu wenig Priorität – und unter dem Aspekt, davon bin ich fest überzeugt – würde eine Abkehr Googles von dieser Politik mehr Gefährdung für die Nutzer bedeuten als eine Veröffentlichung, nach der sich der Kunde selbst absichern kann, wenn es schon der Software-Anbieter seines Vertrauens nicht tun mag.
@Bachsau,
da spricht ein Kenner.. 😀
Ich denke, wenn ein Hersteller Google mitteil, das man z.B. nächste Woche einen Patch für die Lücke veröffentlicht, dann sollte Google noch so lange warten. Ansonsten sollten sie aber die 90 Tage Frist knallhart durchziehen.
@Bachsau das würde ich nicht so pauschal sagen. Es kann durchaus vorkommen, das sich durch einen Sicherheitspatch z.B. das Verhalten einer öffentlichen API ändert und in dem Fall muss man schon sehr gründlich testen, weil einem sonst eine Menge Entwickler aufs Dach steigen.
Niemand weiß ob Microsoft Google darüber informiert hat das der Patch kurz bevor steht. Insofern doppelt gefailed und selbst Schuld.
Wie bei so vielem im Leben gilt, dass man sich da eher den Umstaenden anpassen sollte und eine Pauschalisierung nichts bringt.
Bei Google, Microsoft, Samsung, Apple und Konsorten, geht es weniger um den Schutz ihrer Benutzer als viel mehr um das Image und die Kundenbindung. Wie kann man wohl am besten Kunden an sich binden – natuerlich in dem man Konkurrenz anschwaerzt.
Es ist doch so, dass diese Fehler, werden Sie nicht oeffentlich bekannt, nur von einer Handvoll (zugegeben eine immer groesser werdende Hand) ausgenutzt werden koennen. Diese Rate steigt aber nach einer Veroeffentlichung um ein Vielfaches.
Was sollte man tun: besser erstmal Stillschweigen bewahren und das im Hinterzimmer klaeren – zum Schutz aller.
Es ist spannend, was hier teilweise zu lesen ist – und haarsträubend. Da fordert einer, dass MS einen Patch gefälligst binnen 10 Tage zu veröffentlichen habe und wenn man das nicht schaffen würde würde MS kein Interesse an den Kunden haben.
Ich weiß nicht, wieviel Zeilen Code Windows derzeit umfaßt, es dürften ein paar mehr sein. Und scheinbar ist nicht jedem klar, wie komplex ein Betriebssystem ist, wie komplex schon ein „einfaches“ Word ist. Mit einfach mal ein paar Zeilen Code ändern ist es nicht getan und ich würde jeden Softwarehersteller meiden, der genau das tut. Ändern und testen lautet die Devise. Denn was passiert wenn man das nicht hinreichend tut, hat uns Apple im vergangenen Jahr vorgeführt. iOS 8 veröffentlicht, festgestellt, da sind Bugs drin, ein Patch mit heisser Nadel gestrickt, iPhone6 mehr oder weniger zum schweigen gebracht, Patch zurück gezogen. Und auch Microsoft hat in der Vergangenheit schon den einen oder anderen Patch wieder zurück ziehen müssen, weil selbiger zwar ein Problem behob, dafür ein anderes produzierte. Ergo: bitte ausfühlich testen bevor es neue Probleme gibt.
Soll man Scherheitslücken veröffentlichen? Die Frage kann sich im Grunde jeder selbst anhand eines Beispieles beantworten: Man stelle sich vor, man geht aus dem Haus und vergißt die Haustür zu schliessen. Und das sieht jemand und postet das auf Facebook, Twitter und sonst wo. Wer der hier anwesenden fände es denn witzig, wenn ihn das beträfe, wenn es die eigene Haustür wäre?
Sicherhietslücken nach dem Fix zu veröffentlichen halte ich für legitim und auch wichtig, damit die Hersteller angespornt bleiben eine vernünftige Qualitätssicherung durchzuführen.
Man sollte mit MS genau so umgehen, wie MS mit seinen Kunden umgeht! Wenn dazu eine Pistole gehören sollte, dann wäre ich gerne bereit, diese zu halten… ;-))
Seit Jahrzehnten quält dieser Konzern durch seine Marktmacht mit minderwertigen Betriebssystemen bedauernswerte Sysadmins.
Dieser ganze Windowsschund ist so voller Macken, dass mit den Jahren riesige Knowledgebases entstanden sind, um wenigstens die übelsten Designklippen zu umschiffen….
Was der @skyteddy sagt, klingt nicht ganz schlecht.
@caschy Der link zeigt ins Nirwana
@Marco Matthes: dem kann ich mich nur anschließen, nicht Google, sondern MS sollte seine Arbeitsabläufe überarbeiten. Wenn der Bug so gravierend ist, dass er eine nennenswerte Anzahl an usern gefährdet, sollte er in 3 Moaten eigentlich gefixt sein.
@Christian Rohweder, der Vergleich mit der Haustür hinkt. Sehr sogar. Ich würde es eher damit vergleichen, wenn jemand einen Konstruktionsfehler bei einem Auto findet und dieses könnte Menschenleben kosten, sollte dies veröffentlicht werden oder sollten die AutofahrerInnen bis zum Rückruf im unklaren gelassen werden?
Meiner Meinung nach sollten Sicherheitslücken schnell veröffentlicht werden. Der Glaube, dass eine unveröffentlichte Sicherheitslücke sicherer ist halte ich persönlich für naiv. Vor allem in einer Zeit, wo solche Lücken von Unternehmen verkauft werden und gar nicht mehr an die EntwicklerInnen gemeldet werden.
@Christian: Hinkende Vergleiche bringen uns auch nicht weiter. Eine Haustüre ist nichtmal ansatzweise ein guter Vergleich und ein Informieren fehlt auch. Zumal eine Haustüre vom Melder direkt geschlossen werden kann.
Eine Firma muss zeitlich schnell auf eine Sicherheitslücke reagieren können. Da ist es egal ob Microsoft Milliarden von Zeilen Code verwaltet. Was ist, wenn eine Sicherheitslücke nicht auf den legalen Weg gemeldet wird, sondern am Schwarzmarkt dem Meistbietenden verkauft und dann aktiv ausgenutzt wird? Will man dann ernsthaft seine Kunden 3 Monate im Regen stehen lassen und das ganze am Besten noch stillschweigen, damit kein Trittbrettfahrer aufspringt? Firewalls und Antivirus sind auch keine ernsthaften Antworten mehr auf Malware, die ist mittlerweile viel zu flexibel.
Ja, Microsofts Codebase ist groß. Entsprechend haben sie aber auch Manpower und der Code sollte gut dokumentiert und modular aufgebaut sein. Sicher ist das Wunschdenken, aber innerhalb von 90 Tagen im Internetzeitalter nicht auf eine Lücke reagieren zu können ist eine Bankrotterklärung für ein führendes Betriebssystem.
@Christian Rohweder: Natürlich soll man Sicherheitslücken veröffentlichen. Dein Beispiel hinkt, wenn wir dabei bleiben ist das Scenario in etwa so, dass Du herausfindest, dass sich das Schloß Deiner Haustür mit einem Klopfzeichen öffnen lässt, Dann gibst Du dem Hersteller 3 Monate Zeit, das Problem zu beheben. Nach Ablauf der Frist verkündest Du per Aushang (weil Du nicht alle Besitzer dieses Schloßßtyps kennst) den Fehler, damit sich die Hausbesitzer darauf einstelllen können (Neues Schloß ohne Sicherheitslücke anschaffen z.B.). Im Zweifel kennen die Banden, die gerade die Gegend unsicher machen die Lücke nämlich schon.
Und ja, wenn es eine Sicherheitslücke ist, die so gefährlich ist, dass von einer Veröffentlichung Gefahr ausgeht, darf man das soweit verallgemeinern und den Anspruch haben.
Eine richtige Umfrage, ohne tendenziöse Fragestellung, wäre nett 🙂
finde das Vorgehen von Google nicht ganz fair. Klar eine Frist braucht es, aber offenbar wussten sie ja von der bevorstehenden Behebung, da hätten sie auch noch warten können.
Behebt denn Google alle ihre Fehler in 90 Tagen?
Diese ganzen „Patchdays“ halte ich für wenig sinnvoll. Lücken sollten dann geschlossen werden wenn sie bekannt sind und nicht wenn ein bestimmter Termin erreicht wurde. Sobald eine Lücke bekannt ist muss davon ausgegangen werden, dass diese möglicherweise auch schon jemand kennt, der böses damit vor hat. Je früher die Lücke geschlossen ist desto besser.
Ich nutze Microsoft-Produkte schon lange nicht mehr aber wenn ich mich nicht täusche hat es schon Fälle gegeben wo Microsoft von seinem Plan abgewichen ist. Warum haben sie das nicht hier auch getan? Google hatte doch den Termin weit im Voraus angekündigt. Die 90 Tage waren das obere Limit. Sie hätten den Patch ja auch schon z.B. innerhalb von 30 Tagen verteilen können…
Diese Patchdays wird es ab Windows 10 angeblich nicht mehr geben, sondern es wird dann gepatcht, wenn ein Patch zur Verfügung steht.
Pest und Cholera
Ich bin für eine 30-Tage-Frist für jede Lücke insbesondere auch in Android 2.x, Adroid 3.x, und Android 4.x Versionen.
Google sitzt mit seiner eigenen verfehlten Sicherheits-Update-Politik mächtig im Glashaus. Wegen 90 oder 92 Tage zu pokern ist von beiden Seiten kleinlich. Wer glaubt denn das MS wirklich am 11.01. noch nicht fertig war? Und warum setzt Google eine Frist die nicht an einem Dienstag endet? Das sind doch beides Brandstifter die im selben Benzintank sitzen.
Und dass Google meine Daten auf meinem MS-Rechner angezündet hat, verzeihe ich Google auch nicht. Google ist evil – aber das ist ja nicht neu. Und MS war noch nie besser – aber das ist auch nicht neu.
@Bachsau:
1. weißt du doch gar nicht ob es sich um einen 5-Zeilen Patch handelt.
2. tangierst du damit vermutlich Millionen User, weshalb MS die Patches wohl genaustens prüft, bevor sie ins rollout gehen.
Ich kann zwar nicht für Microsoft sprechen, aber ich selbst arbeite in einer Firma die u.a. ein Buchungssystem für eine große deutsche Fluggesellschaft programmiert. Und alleine da werden Patches und Updates sehr genau geprüft (und terminiert), bevor sie ins Livesystem gehen.
Konsolidiert werden bei einem Ausfall aller Microsoft-Systeme (oder auch nur einem kleinen Teil davon) aber wohl sehr viel mehr finanziellen Schäden entstehen, als wenn du zuhause noch 2-3 Wochen länger auf den Patch warten musst.