Schwarz-buch |
Microsoft zu langsam:
Google legt kritische Windows-Lücke offen
Andreas Proschofsky
2. Jänner 2015, 09:51
Bug-Eintrag samt Exploit 90 Tage nach Bericht automatisch öffentlich - Project
Zero mit offensivem Ansatz
Vor einigen Monaten hat sich Google dazu entschlossen, künftig eine aktivere
Rolle im Aufspüren von Sicherheitslücken einzunehmen. Unter dem Namen "Project
Zero" hat man ein Team aus Hackern zusammengestellt, deren Aufgabenbereich nicht
auf Googles eigene Software beschränkt ist. Es werden also auch die Erzeugnisse
der Konkurrenz unter die Lupe genommen.
Frist
Dabei gibt man den jeweiligen Softwareherstellern 90 Tage Zeit das Problem mit
einem Update zu klären, bevor die Lücke öffentlich gemacht wird. Auf diese Weise
soll verhindert werden, dass Fehlerberichte einfach monate- oder jahrelang ohne
Auswirkung bleiben. Ein Zeitfenster, das allerdings nicht für alle Firmen groß
genug zu sein scheint, wie nun ausgerechnet am Beispiel von Microsoft
demonstriert wird.
Kritische Lücke
So hat Google eine kritische Sicherheitslücke in Windows 8.1 öffentlich gemacht,
für die es bislang noch keinen Patch vom Hersteller gibt. Über einen Fehler im
Systemaufruf NtApphelpCacheControl können normale Nutzer Administrationsrechte
erhalten. Der unter dem Namen Forshaw agierende Google-Forscher liefert dazu
auch gleich einen Proof-of-Concept, mit dem sich das Problem nachvollziehen
lässt.
Reaktion
Die Öffnung des Bug-Eintrags zur Lücke passierte automatisch, da die drei Monate
Frist abgelaufen waren. Microsoft wurde laut Google am 30. September über das
Problem informiert. In einem Statement gegenüber ZDNet betont Microsoft, dass
man an einem Patch für die Lücke arbeite, streicht aber auch heraus, dass die
reale Gefährdung begrenzt sei, da man zuerst einen normalen Nutzer-Account auf
einem System brauche. Außerdem empfehle man den eigenen Nutzern ihre
Antiviren-Software und Firewall aktuell zu halten. Immerhin könnte ja auch
installierte Software diese Lücke zum unerwünschten Zugriff auf das System
nutzen.
Ansatz
Bei Google verteidigt man in einem Kommentar die eigenen Herangehensweise. Die
90-Tage-Policy des Project Zero stelle sicher, dass die Hersteller zeitnah
reagieren. Zudem sei dieser Ansatz öffentlich bekannt, und bei der
ursprünglichen Information an Microsoft noch einmal extra betont worden. (apo,
derStandard.at, 2.1.2015)
Link
Fehlerbericht in Windows 8.1
http://derstandard.at/2000009943512/Microsoft-zu-langsam-Google-legt-kritische-Windows-Luecke-offen