Microsoft hat den Google-Ingenieur Tavis Ormandy kritisiert, der gestern vor einer neuen Zero-Day-Lücke in Windows gewarnt hat. Sein Vorgehen verstoße gegen die Regeln für einen verantwortlichen Umgang mit Schwachstellen, wie sie auch Google vertrete, so der Softwareanbieter.
Ormandy hatte nach eigenen Angaben Microsoft am 5. Juni über eine von ihm entdeckte Sicherheitslücke in Windows informiert. Details zu der Anfälligkeit sowie Beispielcode für einen Exploit veröffentlichte er nur fünf Tage später auf der Mailing-Liste Full Disclosure. „Ich möchte darauf hinweisen, dass man mich nicht ernst genommen hätte, wenn ich die Schwachstelle ohne einen funktionierenden Exploit veröffentlicht hätte“, heißt es darin.
„Ein Grund, warum wir und viele andere in der Branche für einen verantwortlichen Umgang mit Schwachstellen eintreten, ist, dass der Anbieter der Software die besten Möglichkeiten hat, die Ursache vollständig zu verstehen“, schreibt Mike Reavey, Chef des Microsoft Security Response Center, in einem Blogeintrag. „Obwohl Ormandys Entdeckung grundsätzlich wichtig ist, hat sich herausgestellt, dass seine Analyse unvollständig ist und der von ihm vorgeschlagene Workaround leicht umgangen werden kann.“ In einigen Fällen werde für ein umfassendes Update, das funktioniere und keine Qualitätsprobleme verursache, mehr Zeit gebraucht.
Nach Ansicht des Sicherheitsforschers Robert Hansen sei es unvernünftig gewesen, anzunehmen, Microsoft könne so kurzer Zeit einen Patch entwickeln. „Google war in der Vergangenheit einer der lautesten Befürworter eines verantwortlichen Umgangs mit Schwachstellen. Und es scheint, als habe Tavis nicht allein gehandelt – er nennt andere Sicherheitsforscher bei Google als Helfer“, schreibt Hansen in Kasperskys ThreatPost-Blog. Google scheine mit dem Vorgehen Ormandys einverstanden gewesen zu sein. „Diese Scheinheiligkeit ist unglaublich.“
Ein Google-Sprecher erklärte, Ormandy habe eigenmächtig gehandelt und dafür eigene Forschungen verwendet, die er in seiner Freizeit angestellt habe. „Tavis persönliche Ansichten zur Veröffentlichung von Schwachstellen müssen nicht unbedingt die Meinungen seiner Kollegen oder Googles als Ganzes wiedergeben.“ Ob Ormandys Verhalten gegen Googles Geschäftspolitik verstoße, wollte der Sprecher nicht kommentieren.
Laut einer Sicherheitswarnung von Microsoft ermöglicht es die Schwachstelle, einen White-List-Filter zu umgehen, wodurch ein Angreifer die Kontrolle über einen Computer mit Windows XP oder Windows Server 2003 übernehmen kann. Dafür sei es nur notwendig, einen Anwender auf eine manipulierte Website zu locken. Microsoft hält Angriffe auf die Zero-Day-Lücke für wahrscheinlich. Nutzer von Windows 2000, Vista, Server 2008, 7 und Server 2008 R2 sind nicht betroffen.
ZDNet.de steht nun auch in einer für mobile Geräte optimierten Version zur Verfügung. Unter m.zdnet.de finden Sie Nachrichten, Blogs und Testberichte.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…