Zero-Day-Lücke

Google verpetzt Microsoft

Uhr
von Coen Kaat

Eine kritische Schwachstelle im Kernel von Windows macht das Betriebssystem angreifbar für Cyberkriminelle. Google hat die Sicherheitslücke gefunden, Microsoft informiert, diese aber kurz darauf veröffentlicht. Zu kurz darauf, wie Microsoft nun sagt.

(Quelle: Stefan Rajewski)
(Quelle: Stefan Rajewski)

Google hat eine Sicherheitslücke im Kernel von Windows gefunden. Cyberkriminelle könnten die Schwachstelle ausnutzen, um einer Security Sandbox zu entkommen. Eine Sandbox ist sozusagen eine Testumgebung. Darin kann ein System eine verdächtige Applikation laufen lassen, um zu sehen, ob sie eine Bedrohung darstellt.

Google warnt auf seinem Blog vor der Sicherheitslücke. Nach eigenen Angaben hatte Google am 21. Oktober Microsoft darüber informiert. Also 10 Tage vor der Veröffentlichung. Wie Google schreibt, konnte Microsoft in der Zwischenzeit noch keinen Patch bereitstellen, der das Problem löst.

Google zögerte nicht lang

Die Frist war kurz. Wenn Sicherheitsexperten eine Schwachstelle finden, warten sie gelegentlich bis zu 90 Tage, bevor sie diese veröffentlichen. Google selbst wartet generell 60 Tage.

Wird eine kritische Schwachstelle, wie im aktuellen Fall, bereits durch Kriminelle ausgenutzt, informiert Google die Öffentlichkeit bereits nach einer Woche. Sofern der Hersteller in der Zwischenzeit nicht reagierte.

Microsoft protestiert

Wie Venturebeat schreibt, äusserte sich Microsoft kritisch zu Googles Verhalten. Die Veröffentlichung bringe Nutzer in Gefahr. Wie es ferner in dem Beitrag heisst, hängt die Schwachstelle mit dem Flash Player von Adobe zusammen. Adobe veröffentlichte bereits einen Patch. Folglich sei die Windows-Schwachstelle ebenfalls geflickt – wenn auch nicht behoben.

Die von Google gefundene Schwachstelle ist bereits die zweite Zero-Day-Lücke für Microsoft in einem kurzen Zeitraum. Ende letzter Woche hatte der israelische Sicherheitsspezialist Ensilo ebenfalls über eine Windows-Lücke informiert.

Das Unternehmen nannte die Schwachstelle Atombomb. Dabei handelte es sich jedoch um ein hypothetisches Szenario. Wie Winfuture schreibt, ist die Sicherheitslücke eher ein aufgebauschtes Was-wäre-wenn-Szenario.

Webcode
DPF8_12673