Neue Sicherheitslücke in Windows: Microsoft kritisiert Googles Sicherheitspolitik

Google und Microsoft liegen im Clinch: Beide Unternehmen haben unterschiedliche Auffassungen, wie mit gemeldeten Sicherheitslücken umzugehen ist: Google hat erneut eine nicht geschlossene Sicherheitslücke in Windows öffentlich gemacht, Microsoft hätte das gerne verhindert.

Artikel veröffentlicht am ,
Google findet erneut Sicherheitslücke in Windows 8.1.
Google findet erneut Sicherheitslücke in Windows 8.1. (Bild: Microsoft/Screenshot: Golem.de)

Google hat erneut auf eine Sicherheitslücke in Windows hingewiesen, bevor Microsoft einen Patch zur Beseitigung des Fehlers fertig hat. Google hatte den Fehler im Rahmen des Project Zero am 13. Oktober 2014 in Windows 8.1 bemerkt und vertraulich an Microsoft gemeldet. Dabei agiert Google nach der Richtlinie der Responsible disclosure, wonach gefundene Sicherheitslücken innerhalb einer Frist geheim gehalten und dann veröffentlicht werden. Bei Google beträgt die Frist 90 Tage. Da für diese Sicherheitslücke die Frist abgelaufen ist, hat Google alle Details dazu veröffentlicht.

Microsoft kritisiert Google

Stellenmarkt
  1. DevOps Engineer (m/f/d)
    enote GmbH, Berlin
  2. Duales Studium Softwaretechnologie im Bereich Slicing 1
    MULTIVAC Sepp Haggenmüller SE & Co. KG, Dautphetal-Buchenau
Detailsuche

Chris Betz, Senior Director von Microsofts Security Response Center, hält mit einem langen Blogbeitrag dagegen und beklagt, dass Google hier nicht der Microsoft-Linie folge. Wenn es nach Betz ginge, würden Sicherheitslücken generell erst öffentlich gemacht, nachdem ein passender Patch zur Verfügung steht.

Dabei handelt es sich um die von Microsoft erdachte Richtlinie Coordinated Vulnerability Disclosure. Laut Microsoft wird am Abend des 13. Januar 2015 ein Patch erscheinen, der den jetzt bekanntgewordenen Fehler beseitigt. Ursprünglich wollte Microsoft den Patch erst im Februar 2015 veröffentlichen, hat das Update aber vorgezogen, als Google nicht bereit war, mit der Bekanntgabe der Sicherheitslücke zu warten.

Google hält an 90-Tage-Frist fest

Beide Firmen bestätigen, dass Microsoft Google gebeten habe, die Veröffentlichung zur Sicherheitslücke um zwei Tage zu verschieben, aber Google blieb bei der 90-Tage-Regelung. Sie gelte für alle Unternehmen gleichermaßen, heißt es von Google. Darüber zeigt sich Microsoft verärgert. Immer wieder gibt es Streitigkeiten zwischen Unternehmen, wenn es um die Veröffentlichung von gefundenen Sicherheitslücken geht.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Betz wirft Google vor, sich nicht um die Interessen der Kunden zu kümmern und leichtfertig die Informationen zur Sicherheitslücke veröffentlicht zu haben. Nach Betz' Auffassung sei die von Microsoft erdachte Richtlinie das richtige Instrument bei der Bekanntgabe von Sicherheitslücken.

Zum Jahreswechsel hatte Google bereits ein anderes Sicherheitsloch in Windows 8.1 öffentlich gemacht. Auch darüber war Microsoft nicht erfreut. Der Windows-Hersteller hätte sich gewünscht, dass sich Google mit der Veröffentlichung geduldet, bis der Fehler korrigiert ist. Bislang ist kein Patch dafür veröffentlicht worden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Enuu
Bürgersteig-Parken führt zu Aus von Mini-Autos

Die vierrädrigen Kabinenroller von Enuu werden in Berlin auf Bürgersteigen geparkt, was Ärger verursacht. Nun verschwinden die Elektrofahrzeuge wieder.

Enuu: Bürgersteig-Parken führt zu Aus von Mini-Autos
Artikel
  1. Ransomware: Sicherheitsforscher erwartet Ransomware-Wettrüsten mit KI
    Ransomware
    Sicherheitsforscher erwartet Ransomware-Wettrüsten mit KI

    Der Forschungsschef von F-Secure geht davon aus, dass sich Ransomware künftig auch mit Hilfe von KI immer besser verstecken kann.

  2. Arbeit: LinkedIn Mitarbeiter dürfen im Homeoffice bleiben
    Arbeit
    LinkedIn Mitarbeiter dürfen im Homeoffice bleiben

    Die meisten der 16.000 LinkedIn-Mitarbeiter dürfen künftig Vollzeit von zu Hause aus arbeiten. Das könnte aber zu Einkommenseinbußen führen.

  3. Thunderbolt: Intel arbeitet wohl an USB-Standard mit doppelter Datenrate
    Thunderbolt
    Intel arbeitet wohl an USB-Standard mit doppelter Datenrate

    80 statt 40 GBit/s: ein Intel-Manager hat aus Versehen Details zu einem unbekannten Standard verraten. Es könnte ein neues Thunderbolt sein.

tomatentee 23. Jan 2015

Au ja, bitte, bin ich absolut dafür. Die Android-Hersteller könnten hier dringend mehr...

tomatentee 23. Jan 2015

Wenn das tatsächlich so sein sollte, sollte MS verflucht noch mal im eigenen Saustall...

TheUnichi 14. Jan 2015

Spar dir deine Wall-of-Text einfach, dann sind wir alle glücklich. Zeitnah ist eben auch...

nykiel.marek 14. Jan 2015

Weil? Sie müssten doch nicht das ganze Betriebssystem neu schreiben sondern nur das Loch...

bitshift 13. Jan 2015

Das ist die ABSOLUTE Ausnahme (a.k.a. Hotfix - wie oft vorgekommen 2014.. fünf mal...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Samsung Galaxy Vorbesteller-Aktion • Acer XB323UGP (WQHD, 170Hz DP) 480€ • McAfee Total Protection ab 15,99€ • Mega-Marken-Sparen bei MediaMarkt • Saturn: 1 Produkt zahlen, 2 erhalten • Alternate-Deals (u. a. AKRacing Core EX-Wide SE 229€) [Werbung]
    •  /