Windows 8.1: Google legt Sicherheitslücke offen, Microsoft verärgert

Frank Hüber
232 Kommentare
Windows 8.1: Google legt Sicherheitslücke offen, Microsoft verärgert

Google hat heute eine Sicherheitslücke in Windows 8.1 öffentlich gemacht, da die Geheimhaltungsfrist von 90 Tagen abgelaufen ist. Microsoft ist über dieses Vorgehen verärgert, da das Unternehmen Google mitgeteilt hatte, dass morgen im Rahmen des Patchdays ein Update veröffentlicht wird.

Im Rahmen des Project Zero sucht Google seit einigen Monaten auch nach Sicherheitslücken in Software von anderen Unternehmen. Gefundene Lücken werden dabei 90 Tage geheim gehalten, um den Unternehmen Zeit zu geben, sie zu schließen. Auch bei der nun veröffentlichten Sicherheitslücke in Windows 8.1 hat Google Microsoft 90 Tage Zeit gegeben. Microsoft hat Google allerdings darauf hingewiesen, dass im Rahmen des Januar-Patchdays ein Update bereitgestellt werden wird, das die Lücke schließt, und Google deshalb gebeten, die Lücke erst zwei Tage später mit Verfügbarkeit des Updates offenzulegen. Google lehnte dies mit dem Hinweis, dass die Frist für alle Produkte und Unternehmen gleichermaßen gelte, ab. Microsoft ist ob dieser Offenlegung, die die Sicherheit der Kunden gefährdet, verärgert.

Chris Betz, Senior Director des Microsoft Security Response Center, äußert sich in einem Blogeintrag zu diesem Vorgehen, das aus seiner Sicht unverständlich und nicht im Sinne der Nutzer sei, auch wenn Google sich an die eigenen Vorgaben gehalten habe. Was für Google richtig sei, sei nicht immer richtig für die Kunden. Chris Betz ruft Google dazu auf, den Schutz der Kunden zum gemeinsamen primären Ziel zu erklären. Microsoft glaube daran, dass eine koordinierte Offenlegung von Sicherheitslücken der richtige Weg sei und das Risiko für Kunden minimiere. Google hingegen möchte Kunden durch eine vollständige Offenlegung ermöglichen, selbst Maßnahmen zu ergreifen und Druck auf den Anbieter auszuüben. Da die meisten Kunden nichts unternehmen würden und somit angreifbar sind, sieht Microsoft hierin jedoch einen falschen Ansatz. Darüber hinaus würde Betz es nicht für richtig halten, seine Experten nach Sicherheitslücken in Produkten anderer Unternehmen suchen zu lassen, Druck auf diese auszuüben, die Lücke innerhalb einer vorgegebenen Frist zu schließen, und diese dann vor der Bereitstellung eines Updates zu veröffentlichen, obwohl ihr Ausnutzen weiterhin Schaden verursachen könnte. Richtlinien, die keine koordinierte Zusammenarbeit vorsehen, würden allen Beteiligten schaden, so Betz.

Die Bereitstellung eines Updates für die nun veröffentlichte Sicherheitslücke habe aufgrund von umfangreichen Prüfungen der Auswirkungen länger als 90 Tage in Anspruch genommen. Die Lücke bezieht sich auf den Benutzerprofildienst (User Profile Service) in Windows 8.1 32- und 64-Bit und ermöglicht es Angreifern, ihre Benutzerrechte eigenmächtig zu erhöhen. Ob weitere Windows-Betriebssysteme betroffen sind, ist bislang nicht bekannt.

Bereits am 29. Dezember 2014 hatte Google eine Sicherheitslücke in Windows 8.1 offengelegt, bevor sie von Microsoft geschlossen wurde. Dies sorgte auch unter Nutzern für eine Diskussion über die Verantwortungslosigkeit von Google, eine derartige Lücke zu veröffentlichen. Google hatte daraufhin eine Änderung der Richtlinien grundsätzlich nicht ausgeschlossen, sich jedoch gleichzeitig gegen individuelle Absprachen zur Offenlegung verteidigt und eine feste Frist von 90 Tagen als „optimalen Ansatz für die Sicherheit von Nutzern“ bezeichnet.

  232 Kommentare
Themen:
  • Frank Hüber E-Mail X
    … schreibt seit dem Jahr 2000 über Smart Home, Monitore und neue Technologien. Sein Studium schloss er als Diplom-Ingenieur ab.
Quelle: Google Security Research

Ergänzungen aus der Community

  • Dr. MaRV 12.01.2015 13:31
    Patch-Days passen nicht mehr in das Internetzeitalter von heute. Lücken schließt man sofort und nicht wenn es in den "Plan" passt. Google macht das meiner Ansicht nach genau richtig. "MarcDK, post: 16850652
    Dazu muss man aber auch erstmal wissen wo die Lücke ist, das Problem reproduzieren und wissen wie man diese Lücke schließen kann. Oder hat Google auch gleich den Action Plan zum Schließen mitgeliefert? Ich denke nicht. Mit dem Finger auf andere zeigen ist einfach. Genau wie es einfach ist, das plötzlich sämtliche Pseudoexperten hier meinen 90 Tage für einen Patch sind genügend Zeit.

    Irgendwas kann man sicher gleich sofort bereitstellen, aber das richtige Mittel benötigt nun mal Zeit und wenn diese mehr als 90 Tage beträgt, dann ist das so. Schließlich kann man nicht einfach irgendwelche Entwickler aus irgendwelchen Teams abziehen und Patches schreiben lassen, für Produkte mit deren Entwicklung sie nicht vertraut sind.

    Mich wundert es eigentlich auch unheimlich, dass bei dem ganzen Expertentum hier nicht einer Forennutzer auf diese Lücke aufmerksam gemacht hat und diese gleich selbst geschlossen hat. Wie geschrieben, mit dem Finger zeigen kann jeder... :rolleyes: