Microsoft hat Google wegen der Offenlegung einer weiteren Sicherheitslücke in Windows 8.1 scharf kritisiert. Der Internetkonzern hat die Details zu der Schwachstelle heute in den frühen Morgenstunden freigegeben, obwohl er wusste, dass Microsoft im Rahmen seines morgigen Januar-Patchdays ein Update herausbringen will.
„Obwohl sich Google an seinen angekündigten Zeitplan für die Offenlegung gehalten hat, fühlt sich die Entscheidung nicht nach Prinzipien an, sondern mehr wie ein ‚Erwischt‘ an“, schreibt Chris Betz, Senior Director des Microsoft Security Response Center, in einem Blogeintrag. Die Leidtragenden seien nun die Kunden. „Was richtig ist für Google, ist nicht immer richtig für die Kunden. Wir bitten Google dringend, den Schutz der Kunden zu unserem gemeinsamen primären Ziel zu machen.“
Google sucht im Rahmen seines Project Zero auch nach Sicherheitslücken in Produkten anderer Unternehmen. Schon seit der Gründung der Initiative Mitte 2014 ist bekannt, dass Google eine Sperrfrist von 90 Tagen vorsieht, bevor es mit Details zu einer Anfälligkeit an die Öffentlichkeit geht. Über die neue Schwachstelle in Windows 8.1 hatte es Microsoft nach eigenen Angaben am 13. Oktober informiert – die Offenlegung erfolgte dementsprechend am 12. Januar. Am 8. Januar hatte Microsoft Google zufolge jedoch schon bestätigt, dass es ein Update für Januar 2015 plant.
Google hat laut einem Bericht von GeekWire schon bei der Offenlegung der ersten Windows-8.1-Lücke zum Jahreswechsel seine Bereitschaft erklärt, seine Richtlinien zu ändern. In einem am 31. Dezember veröffentlichten Blogeintrag verteidigte Google jedoch das Vorgehen an sich. „Project Zero glaubt, dass Fristen für eine Offenlegung ein optimaler Ansatz für die Sicherheit von Nutzern sind.“ Die Fristen gäben Anbietern ausreichend Zeit, Schwachstellen zu prüfen und zu beheben. Sie respektierten aber auch das Recht der Nutzer, von Bedrohungen zu erfahren. „Indem wir einem Anbieter die Möglichkeit nehmen, Details zu einem Sicherheitsproblem unbegrenzt zurückzuhalten, geben wir Nutzern die Möglichkeit, zeitnah auf Schwachstellen zu reagieren und ihr Recht als Kunde auf eine angemessene Reaktion des Anbieters einzufordern.“
In seinem Blogeintrag nennt Betz auch Gründe dafür, warum der jüngste Fix länger als 90 Tage gedauert hat. Microsoft müsse bei jedem Update die möglichen Auswirkungen auf die Umgebungen der Kunden berücksichtigen. Updates für Software-Produkte, einen Online-Dienst, eine zehn Jahre alte Software-Plattform mit zehntausenden dafür entwickelten Applikationen oder Hardware-Geräte stellten unterschiedliche Anforderungen. „Eine umsichtige Zusammenarbeit zieht diese Attribute in Betracht.“
Die Schwachstelle selbst steckt laut Google im User Profile Service von Windows 8.1 32-Bit und 64-Bit. Wie schon bei der Ende Dezember offengelegten Schwachstelle könnten Angreifer damit ihre Rechte erhöhen. Ob auch andere Versionen des Microsoft-Betriebssystems betroffen sind, ist unklar. Google hat außerdem nicht getestet, ob der Fehler auch bei einem Online-Nutzerkonto auftritt.
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Neueste Kommentare
15 Kommentare zu Microsoft kritisiert Google wegen Offenlegung von weiterer Windows-8.1-Lücke
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
@Hi, Hi…
der Patch wird ja wohl schon fertig gewesen sein, wenn man ankündigt, dass in 2 Tagen sowieso Patchday ist.
Warum gibt man den Patch dann nicht die „nur 2 Tage“ früher raus, sondern hält sich von MS-Seite strikt an den üblichen Fahrplan?
Nur weil jetzt MS nicht von seiner üblichen Veröffentlichung von Patches abweichen will?
Sieht von dieser Seite betrachtet nämlich genauso blöd aus.
Oder der Patch war noch nicht fertig, dann ist das ganze Gezeter von MS auch für die Katz und Google hat richtig gehandelt.
…was ist wohl besser?
Google wartet noch einige Tage und nur ein oder zwei Hand voll Spezis kennen diese Lücke oder Google ist stur und sämtliche Möchtegernhacker dieser Welt stürzen sich darauf? Und seien es NUR zwei Tage!
Sieht ja wirklich blöd aus wegen dieser 2 Tage.
Nur warum hat MS dann nicht „nur“ 2 Tage vorher gepatcht?
Um nicht vom üblichen Schema abzuweichen?
Dürfte doch eigentlich kein Problem gewesen sein, dies 2 Tage früher zu machen, wenn es sowieso schon geplant war diesen zu veröffentlichen.
Scheint mir eher so, dass der Patch noch nicht fertig war und jetzt von MS rumgejammert wird.
Eine andere Begründung fällt mir sonst nicht mehr ein.
Es sei denn, man war einfach nicht gewillt vom üblichen Zeitpunkt für den Patch abzuweichen.
Dies wäre aber ziemlich übel und wohl nicht zu beweisen.
Also nochmal. Warum nicht die „nur“ 2 Tage in die andere Richtung handeln?
…ich kenne den Aufwand nicht, um einen einzelnen Patch zwei Tage vor dem üblichen Patchday zu veröffentlichen. Aber der Aufwand einen Counter zwei Tage anzuhalten, ist ganz bestimmt nicht größer. Zumal MS eben mitgeteilt hat, dass die Lücke am Patchday geschlossen wird. Es scheinen beide auf ihre Termine zu pochen, ich halte aber das Verhalten von Google für kritischer.
Da muss ich hi,hi recht geben. Die 2 Tage kann man die Patches noch ausgiebig testen, sodass nicht nochmal so ein Update-Desaster entsteht oder ein Patch nach dem anderen kommen muss um eine Lücke zu schließen. Den counter von google musste man nicht mehr testen oder sonstiges, einfach sagen ‚ok, Patch ist zugesagt in 2 Tagen, counter wird um 24 Std erweitert‘.
Es geht doch auch gar nicht so sehr um den Aufwand, einen Patch 2 Tage vorab zu veröffentlichen, sondern das Firmen nicht aller Nase lang ihre komplette Infrastruktur patchen und booten können. MS Patchdays sind eingeplant, jeder Sysadmin weiß dass an diesem Datum Patchday ist und kann sich terminlich darauf einrichten. Was nützt es den Patch jetzt 2 Tage vorab zu veröffentlichen, wenn die Systeme sowieso nicht gepatcht werden (können)?!
Dumme Aktion seitens Google.
Ja und nein.
Wo soll man da die Grenze ziehen?
Sind 2 Tage auch noch dumm?
Ist ja nur ein Tag mehr.
Aber ab 3 Tagen ist es doch in Ordnung?
Man sieht, ist nur auf den ersten Blick einfach.
…es war insofern unangebracht von Google, da MS VOR Ende der Frist einen Patch angekündigt hatte. Etwas Spielraum (was weiß ich, 14 Tage oder so) wären sicher drin gewesen. Wenn die Lücke dann immer noch offen wäre, könnte Google sich ja wie gewohnt äußern.
Na Du bist ja großzügig. ;)
14 Tage Spielraum, oder so, wären für dich noch angemessen.
Wenn Du Chef bist, würdest Du deinen Untergebenen auch 14 Tage, oder so, für die Krankmeldung geben?
Oder was würde dein Chef sagen, wenn Du dich erst nach 14 Tagen, oder so, krankmelden würdest?
Es gibt eben irgendwann eine Deadline, an die man sich halten muss, sonst braucht man erst gar keine Vorgaben aufzustellen.
In dem Fall sieht es halt wirklich bescheuert aus, weil „nur“ 1 Tag dazwischen lag, aber sollte man deswegen wirklich von seinen Vorgaben abweichen?
Beim nächsten Patch sind es dann „nur“ 2 Tage, oder 3, wo soll denn da die Grenze gezogen werden?
…das meine ich nicht!
Wenn Microsoft VOR Ablauf der Deadline ohnehin schon einen Patch für diese Lücke (auch explizit beim „Melder“) ankündigt, dann ist es m.M.n. sinnvoller, die Hacker nicht auch noch auf das Einfallstor hinzuweisen. Die 14 Tage waren eine gegriffene Zahl von Patchankündigung bis Patchday, falls die Deadline irgendwo dazwischen liegt. Grundsätzlich sollte eine Lücke so schnell als möglich geschlossen werden, aber unnütz veröffentlicht werden muss sie auch nicht.
Google ist aber bewusst, das MS seit Jahren einen festen Patchzyklus hat (2. Dienstag des Monats), außerdem hatten wir auch noch Weihnachten und Neujahr dazwischen. Und ja, auch ein Programmierer will mal Urlaub… ;)
Damit schadet Google den Kunden mehr, als MS mit Ihrer „Termin-Überziehung“ um 2 Tage.
90 Tage sind meiner Meinung nach fast zu viel Zeit bis zur Disclosure. Abgesehen davon, dass MS da schon genug Zeit hatte bei vorherigen Patchdays die Lücke zu schließen. Letztenendes ist das nur konsequent und zeigt, dass man keine Ausnahme macht.
Hier jetzt mit dem Finger zu zeigen lenkt nur von der eigenen Unfähigkeit Microsofts ab in meinen Augen.
Ein Patch ist nun mal nicht einfach mal so aus dem Ärmel geschüttelt. Er muss sauber ubd logisch programmiert werden, sodass man nicht hinterher einen zweiten Patch für den ersten Patch bringen muss, nur weil man es schnell machen wollte. Und dann sollte dieser nicht auch noch mehr Probleme verursachen.
Da bekannt war, das diese Lücke einen Tag später geschlossen wird, hätte man die User ruhig in Sicherheit wiegen können und nicht irgendwelchen Hackern in die Hände spielen.
Hi, hi…. so wie Apple mit seinem iOS 8 und dann gleich noch mal mit iOS 8.1. Und mit dem OSX 10.10 war es auch kaum besser. Unfähigkeit hat einen Namen: „Apple“.