Neue Sicherheitslücke in Windows: Microsoft kritisiert Googles Sicherheitspolitik
Google hat erneut auf eine Sicherheitslücke in Windows hingewiesen, bevor Microsoft einen Patch zur Beseitigung des Fehlers fertig hat. Google hatte den Fehler im Rahmen des Project Zero am 13. Oktober 2014 in Windows 8.1 bemerkt und vertraulich an Microsoft gemeldet. Dabei agiert Google nach der Richtlinie der Responsible disclosure(öffnet im neuen Fenster), wonach gefundene Sicherheitslücken innerhalb einer Frist geheim gehalten und dann veröffentlicht werden. Bei Google beträgt die Frist 90 Tage. Da für diese Sicherheitslücke(öffnet im neuen Fenster) die Frist abgelaufen ist, hat Google alle Details dazu veröffentlicht.
Microsoft kritisiert Google
Chris Betz, Senior Director von Microsofts Security Response Center, hält mit einem langen Blogbeitrag(öffnet im neuen Fenster) dagegen und beklagt, dass Google hier nicht der Microsoft-Linie folge. Wenn es nach Betz ginge, würden Sicherheitslücken generell erst öffentlich gemacht, nachdem ein passender Patch zur Verfügung steht.
Dabei handelt es sich um die von Microsoft erdachte Richtlinie Coordinated Vulnerability Disclosure(öffnet im neuen Fenster). Laut Microsoft wird am Abend des 13. Januar 2015 ein Patch erscheinen, der den jetzt bekanntgewordenen Fehler beseitigt. Ursprünglich wollte Microsoft den Patch erst im Februar 2015 veröffentlichen, hat das Update aber vorgezogen, als Google nicht bereit war, mit der Bekanntgabe der Sicherheitslücke zu warten.
Google hält an 90-Tage-Frist fest
Beide Firmen bestätigen, dass Microsoft Google gebeten habe, die Veröffentlichung zur Sicherheitslücke um zwei Tage zu verschieben, aber Google blieb bei der 90-Tage-Regelung. Sie gelte für alle Unternehmen gleichermaßen, heißt es von Google. Darüber zeigt sich Microsoft verärgert. Immer wieder gibt es Streitigkeiten zwischen Unternehmen, wenn es um die Veröffentlichung von gefundenen Sicherheitslücken geht.
Betz wirft Google vor, sich nicht um die Interessen der Kunden zu kümmern und leichtfertig die Informationen zur Sicherheitslücke veröffentlicht zu haben. Nach Betz' Auffassung sei die von Microsoft erdachte Richtlinie das richtige Instrument bei der Bekanntgabe von Sicherheitslücken.
Zum Jahreswechsel hatte Google bereits ein anderes Sicherheitsloch in Windows 8.1 öffentlich gemacht. Auch darüber war Microsoft nicht erfreut. Der Windows-Hersteller hätte sich gewünscht, dass sich Google mit der Veröffentlichung geduldet, bis der Fehler korrigiert ist. Bislang ist kein Patch dafür veröffentlicht worden.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.