Google hat im Rahmen seines Project Zero drei weitere Windows-Lücken öffentlich gemacht. Wie Computerworld berichtet, hatte Microsoft zuvor Google darüber informiert, dass es keine Patches für die Schwachstellen bereitstellen wird. Laut einem Eintrag in Googles Bug Tracker ist Microsoft zu dem Schluss gekommen, dass die Anfälligkeiten nicht die Anforderungen für ein Security Bulletin erfüllen.
Der Internetkonzern hatte Microsoft am 27. Oktober, 5. November und 10. November über die Lücken informiert. Sie führen laut Google entweder zur Preisgabe von Informationen oder einer nicht autorisierten Ausweitung von Nutzerrechten. Microsoft bewerte solche Anfälligkeiten in der Regel nicht höher als „wichtig“, so Computerworld weiter.
„Die öffentlich gemachten Fehler haben keine ernsten Auswirkungen auf die Sicherheit“, zitiert Computerworld aus einer E-Mail eines Microsoft-Sprechers. „Wir haben nicht vor, ein Sicherheitsupdate dafür herauszubringen.“
Die Fehler stecken laut Google in den 32- und 64-Bit-Versionen von Windows 8.1. Ältere Versionen des OS sind wahrscheinlich auch betroffen – nur eine der Lücken hat Google auch unter Windows 7 getestet. Ein Nutzer konnte nach eigenen Angaben einen der Bugs mithilfe des von Google bereitgestellten Beispielcodes auch in der Preview von Windows 10 nachvollziehen.
Alle Windows-Lücken, die Google bisher publik gemacht hat, wurden von James Forshaw entdeckt, der seit August 2014 für Project Zero arbeitet. Forshaw ist dem Bericht zufolge ein anerkannter Experte für Windows-Sicherheitslücken. Er habe unter anderem eine Möglichkeit beschrieben, Sicherheitstechniken von Windows zu umgehen, wofür Microsoft ihm eine Belohnung von 100.000 Dollar gezahlt habe.
2013 hatte Forshaw auch eine Lücke in Internet Explorer 11 aufgedeckt und dafür 9400 Dollar von Microsoft erhalten. Zudem nahm Forshaw 2013 erfolgreich am Hackerwettbewerb Pwn2Own teil. Die Präsentation einer Schwachstelle in Oracle Java brachte ihm ein Preisgeld von 20.000 Dollar ein.
Die Offenlegung von Windows-Lücken durch Google hatte zuletzt zu einem Streit zwischen beiden Unternehmen geführt. Auslöser war die Offenlegung eines Rechteausweitungsproblems zwei Tage vor Microsofts Patchday, zumal Microsoft Google über den bevorstehenden Patch informiert und gebeten hatte, die Veröffentlichung von Details zu verschieben. Google vertritt jedoch die Ansicht, dass die vorgegebene Frist von 90 Tagen ein „optimaler Ansatz ist“. Der Anbieter habe genug Zeit, eine Lücke zu schließen, und der Nutzer erhalte die Möglichkeit, zeitnah auf Schwachstellen zu reagieren.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
