Homepage C-Security Cyberspace CSpionage CTerror  Gefährdung Kriminalität  Computer Kommunikation  Systeme Mensch Information Mobiltelephon Ramson Emission Schwachstellen
 Quanten Forschung Fachberichte Wirtschafte Technik Netzee Kryptologiee Geheimdienste kyb.Waffen Bildung Supercomp. Standorte I-Satelliten Diverses C-Politik  Verschlüsselung
 Schwarzbuch> 2 0 1 1 2 0 1 1 2 0 1 2 2 0 1 3 2 0 1 4 2 0 1 5 2016 2017l2018 2019 2 0 2 0 2021 2022  Presseveröffentlichungen
Schwarz-buch

Quelle : der Standard Wien, Austria

Microsoft zu langsam:

Google legt kritische Windows-Lücke offen
Andreas Proschofsky
2. Jänner 2015, 09:51

Bug-Eintrag samt Exploit 90 Tage nach Bericht automatisch öffentlich - Project Zero mit offensivem Ansatz
Vor einigen Monaten hat sich Google dazu entschlossen, künftig eine aktivere Rolle im Aufspüren von Sicherheitslücken einzunehmen. Unter dem Namen "Project Zero" hat man ein Team aus Hackern zusammengestellt, deren Aufgabenbereich nicht auf Googles eigene Software beschränkt ist. Es werden also auch die Erzeugnisse der Konkurrenz unter die Lupe genommen.
Frist
Dabei gibt man den jeweiligen Softwareherstellern 90 Tage Zeit das Problem mit einem Update zu klären, bevor die Lücke öffentlich gemacht wird. Auf diese Weise soll verhindert werden, dass Fehlerberichte einfach monate- oder jahrelang ohne Auswirkung bleiben. Ein Zeitfenster, das allerdings nicht für alle Firmen groß genug zu sein scheint, wie nun ausgerechnet am Beispiel von Microsoft demonstriert wird.
Kritische Lücke
So hat Google eine kritische Sicherheitslücke in Windows 8.1 öffentlich gemacht, für die es bislang noch keinen Patch vom Hersteller gibt. Über einen Fehler im Systemaufruf NtApphelpCacheControl können normale Nutzer Administrationsrechte erhalten. Der unter dem Namen Forshaw agierende Google-Forscher liefert dazu auch gleich einen Proof-of-Concept, mit dem sich das Problem nachvollziehen lässt.
Reaktion
Die Öffnung des Bug-Eintrags zur Lücke passierte automatisch, da die drei Monate Frist abgelaufen waren. Microsoft wurde laut Google am 30. September über das Problem informiert. In einem Statement gegenüber ZDNet betont Microsoft, dass man an einem Patch für die Lücke arbeite, streicht aber auch heraus, dass die reale Gefährdung begrenzt sei, da man zuerst einen normalen Nutzer-Account auf einem System brauche. Außerdem empfehle man den eigenen Nutzern ihre Antiviren-Software und Firewall aktuell zu halten. Immerhin könnte ja auch installierte Software diese Lücke zum unerwünschten Zugriff auf das System nutzen.
Ansatz
Bei Google verteidigt man in einem Kommentar die eigenen Herangehensweise. Die 90-Tage-Policy des Project Zero stelle sicher, dass die Hersteller zeitnah reagieren. Zudem sei dieser Ansatz öffentlich bekannt, und bei der ursprünglichen Information an Microsoft noch einmal extra betont worden. (apo, derStandard.at, 2.1.2015)


Link
Fehlerbericht in Windows 8.1


http://derstandard.at/2000009943512/Microsoft-zu-langsam-Google-legt-kritische-Windows-Luecke-offen