Windows 8.1-Lücke: Microsoft zählt Google an

Vor nicht allzu langer Zeit kommunizierte Google eine Sicherheitslücke in Windows 8.1-Systemen. Ein Google-Mitarbeiter fand diese, gab dem Redmonder Unternehmen 90 Tage Zeit und veröffentlichte dann Details. Das Problem dabei: zum Zeitpunkt der Veröffentlichung war die Lücke nicht geschlossen, was Microsoft dazu brachte, sich dazu zu äußern.

microsoft_logo

Zwar habe sich Google an den angekündigten Zeitplan erhalten, dennoch kommt die Offenlegung der Lücke den nahe, was man wohl mit dem „Zeigefinger zeigen“ beschreiben könnte. So wusste Google, dass der Patch unmittelbar bevorsteht, dennoch habe man sich entschieden, die Lücke vorab zu kommunizieren, was unter Umständen Benutzer der Software noch mehr gefährden könnte. Microsoft teilt mit, dass man glaubt, dass das Richtige für Google nicht immer das Richtige für Kunden ist. Klartext: man fordert Google auf, den Schutz der Kunden zum gemeinsamen Hauptziel zu machen.

Bei Google Security Research wurde zwischenzeitlich diskutiert, ob man eine solche Lücke, die Millionen von Nutzern betrifft, tatsächlich öffentlich machen sollte. Diese Diskussion gab es bereits, als Google die 90-Tage-Frist einführte.

Dass der Patch etwas länger brauchte, erklärt Microsoft mit Testläufen, die man durchführen musste, um negative Auswirkungen des Patches auf die Umgebungen der Kunden zu verhindern.

Eure Meinung zum Thema? Knallhartes „Pistole auf die Brust setzen“ und die 90 Tage-Regel einhalten, oder doch eher im Sinne des Kunden Stillschweigen bewahren, bis der Patch veröffentlicht wurde?

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

49 Kommentare

  1. Hat sich überhaupt irgendwer hier mit der Lücke auseinander gesetzt?
    Richtig ist, dass man durch diese Lücke Zugriff auf Funktionen bekommen kann, die eigentlich nur ein Administrator-Account ausführen kann.
    Falsch ist, dass diese Lücke kritisch (Im Bereich Alarmstufe Rot) ist.

    Denn diese Lücke lässt sich nur unter Bedingungen ausnutzen, die eh fragwürdig sind. Die Person muss von der Lücke wissen und somit ein höheres technisches Verständnis haben. Die Person braucht Zugriff auf einen Account am besagten PC, der übernommen werden soll. PHYSISCHEN Zugriff… Remote reicht da nicht aus.

    Wenn also jemand, aus irgendeinem Grund unbeaufsichtigten physischen Zugriff auf meinen Rechner hat, dann habe ich ein ganz anderes Problem, als dass Microsoft die Lücke erst nach 92 schließt.

    Deswegen hat Microsoft die Lücke nicht priorisiert, weil sie lediglich theoretisch kritisch ist, aber in keinem Fall realistisch zu einem Problem führen könnte.
    Aber Hauptsache erstmal meckern.

  2. @Marco das tut hier gar nix mehr zur Sache, merkste? Es geht um das Grundprinzip wie man mit Sicherheitslücken zukünftig umgeht, sobald diese von Irgendwem entdeckt werden und ob 90 Tage lange genug sind zum patchen.

  3. 90 Tage warten, dann veröffentlichen ganz klar.

  4. Es gibt gute Gründe dafür, sich an Ankündigungen zu halten. Hat etwas mit Glaubwürdigkeit zu tun, liebes MS Team.

    Konsequent zu sein ist nicht immer einfach, es benötigt Rückgrat. Richtig finde ich es allerdings. Weiterhin sind 90 Tage mehr als genug – mir kann niemand erzählen, MS würde keine automatisierten SW Tests betreiben.

  5. Wer gesetzte Fristen Schwammig behandelt, egal welche Seite, ist unglaubwürdig.
    A la dem Motto: wir (ms) haben ja noch 30 Tage zeit, da google eh eine neue Frist einräumt.

  6. Bei Microsoft stimmen die Prozesse hinten und vorne nicht. Kommt auch nur Scheisse Software raus. Haben die überhaupt Buildprozesse oder baut das jeder von Hand ????

  7. @Marco Kaiser:

    Wenn die Lücke eh unwichtig wäre, hätte Microsoft ja auch keinen Grund sich aufzuregen. Durch die Lücke kann jeder normale Nutzer Admin-Privilegien erlangen. Das ist sehr wohl kritisch und lässt sich sehr wohl von Malware ausnutzen, auch remote.

    „Die Person muss von der Lücke wissen und somit ein höheres technisches Verständnis haben.“ ← Du hast keine Ahnung, von was du redest, oder denkst du echt, Lücken werden von Hand vom Endanwender ausgenutzt? Und erklär mir mal, wozu physischer Zugriff erforderlich, wenn man lediglich ein Skript ausführen muss?

  8. Ich kenn‘ das eher als „Stinkefinger zeigen“. Frag mal Effenberg, der ist vom Fach.

  9. „So wusste Google, dass der Patch unmittelbar bevorsteht […]“

    Wussten sie das denn wirklich? Also hat Microsoft angekündigt, dass der Patch zeitnah erscheinen würde? Oder hat man Google nur zum Zeitpunkt des Hinweises, dass es eine Sicherheitslücke gibt, gesagt, dass man sich darum kümmert?

    Microsoft wusste, wann die Frist abläuft. Und Microsoft wusste, dass sie den Patch nicht zum Fristablauf liefern können. Eine Meldung an Google, dass man die Frist nicht einhalten kann, der Patch aber umgehend nach Fertigstellung ausgeliefert wird, wäre in meinen Augen völlig ok gewesen. Dann darf man sich zurecht darüber beschweren, dass Google die Sicherheitslücke publik gemacht hat.

    Ich vermute aber, dass Microsoft genau das nicht getan hat. Google mag vielleicht gewusst haben, dass ein Patch in Arbeit ist, nicht aber, dass dieser Patch nicht fristgerecht ausgeliefert werden kann. Da würde ich mir dann auch denken „Aha, die halten die Frist nicht ein. Denen scheint es weitestgehend egal zu sein. Dann veröffentlichen wir die Details zur Sicherheitslücke halt, um den Druck zu erhöhen“.

    Meiner Meinung nach hat Google nichts falsch gemacht. Es wurde bereits mehrfach erwähnt: Wer eine Frist setzt, sollte sie auch selbst einhalten, um glaubwürdig zu bleiben.

    Und was Microsoft betrifft: Der Code von Windows ist riesig, mehrere zehn- oder gar hunderttausend Zeilen finden sich dort. Da die Sicherheitslücke zu finden und zu stopfen, ist nicht ohne weiteres möglich. Manpower hin oder her. Erst einmal muss man die betreffenden Codezeilen finden – das dauert schon. Dann muss man ermitteln, weshalb es zur Sicherheitslücke kommt – auch das kann je nach Komplexität dauern. Danach muss man eine Lösung finden, um dieses Problem zu beheben – Dauer ebenfalls je nach Komplexität. Das ist wie das Bug-Hunting im Quellcode: Häufig ist es ein kleiner, unscheinbarer Fehler (ein fehlendes Semikolon zum Beispiel) und trotzdem sucht man sich stunden- oder gar tagelang ’nen Wolf, bevor man das Problem findet und beheben kann.

    Nichtsdestotrotz sollte Google bei der Politik bleiben, Sicherheitslücken nach Fristablauf publik zu machen, um den Druck zu erhöhen. Allein schon, um eben erwähnte Glaubwürdigkeit aufrecht zu erhalten. Sonst würde sich in Zukunft keiner mehr um die Frist kümmern, da es ja keine Konsequenzen haben würde.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.