Microsoft kritisiert Google wegen Offenlegung von weiterer Windows-8.1-Lücke

Microsoft hat Google wegen der Offenlegung einer weiteren Sicherheitslücke in Windows 8.1 scharf kritisiert. Der Internetkonzern hat die Details zu der Schwachstelle heute in den frühen Morgenstunden freigegeben, obwohl er wusste, dass Microsoft im Rahmen seines morgigen Januar-Patchdays ein Update herausbringen will.

„Obwohl sich Google an seinen angekündigten Zeitplan für die Offenlegung gehalten hat, fühlt sich die Entscheidung nicht nach Prinzipien an, sondern mehr wie ein ‚Erwischt‘ an“, schreibt Chris Betz, Senior Director des Microsoft Security Response Center, in einem Blogeintrag. Die Leidtragenden seien nun die Kunden. „Was richtig ist für Google, ist nicht immer richtig für die Kunden. Wir bitten Google dringend, den Schutz der Kunden zu unserem gemeinsamen primären Ziel zu machen.“

Google sucht im Rahmen seines Project Zero auch nach Sicherheitslücken in Produkten anderer Unternehmen. Schon seit der Gründung der Initiative Mitte 2014 ist bekannt, dass Google eine Sperrfrist von 90 Tagen vorsieht, bevor es mit Details zu einer Anfälligkeit an die Öffentlichkeit geht. Über die neue Schwachstelle in Windows 8.1 hatte es Microsoft nach eigenen Angaben am 13. Oktober informiert – die Offenlegung erfolgte dementsprechend am 12. Januar. Am 8. Januar hatte Microsoft Google zufolge jedoch schon bestätigt, dass es ein Update für Januar 2015 plant.

Google hat laut einem Bericht von GeekWire schon bei der Offenlegung der ersten Windows-8.1-Lücke zum Jahreswechsel seine Bereitschaft erklärt, seine Richtlinien zu ändern. In einem am 31. Dezember veröffentlichten Blogeintrag verteidigte Google jedoch das Vorgehen an sich. „Project Zero glaubt, dass Fristen für eine Offenlegung ein optimaler Ansatz für die Sicherheit von Nutzern sind.“ Die Fristen gäben Anbietern ausreichend Zeit, Schwachstellen zu prüfen und zu beheben. Sie respektierten aber auch das Recht der Nutzer, von Bedrohungen zu erfahren. „Indem wir einem Anbieter die Möglichkeit nehmen, Details zu einem Sicherheitsproblem unbegrenzt zurückzuhalten, geben wir Nutzern die Möglichkeit, zeitnah auf Schwachstellen zu reagieren und ihr Recht als Kunde auf eine angemessene Reaktion des Anbieters einzufordern.“

In seinem Blogeintrag nennt Betz auch Gründe dafür, warum der jüngste Fix länger als 90 Tage gedauert hat. Microsoft müsse bei jedem Update die möglichen Auswirkungen auf die Umgebungen der Kunden berücksichtigen. Updates für Software-Produkte, einen Online-Dienst, eine zehn Jahre alte Software-Plattform mit zehntausenden dafür entwickelten Applikationen oder Hardware-Geräte stellten unterschiedliche Anforderungen. „Eine umsichtige Zusammenarbeit zieht diese Attribute in Betracht.“

Die Schwachstelle selbst steckt laut Google im User Profile Service von Windows 8.1 32-Bit und 64-Bit. Wie schon bei der Ende Dezember offengelegten Schwachstelle könnten Angreifer damit ihre Rechte erhöhen. Ob auch andere Versionen des Microsoft-Betriebssystems betroffen sind, ist unklar. Google hat außerdem nicht getestet, ob der Fehler auch bei einem Online-Nutzerkonto auftritt.

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.