Windows: Google enthüllt dritte Sicherheitslücke in drei Wochen

Google hat das dritte Mal innerhalb von drei Wochen Details zu einer nicht geschlossenen Windows-Sicherheitslücke bekanntgegeben. Beim zweiten Mal hatte Microsoft mit einem langen Blogposting dagegengehalten und wird auch dieses Mal nicht begeistert sein.

Artikel veröffentlicht am ,
Google enthüllt erneut Windows-Sicherheitslücke.
Google enthüllt erneut Windows-Sicherheitslücke. (Bild: Joel Saget/AFP/Getty Images)

Google hat auf eine nicht geschlossene Sicherheitslücke in Windows 7 und Windows 8.1 hingewiesen. Der Fehler wurde am 17. Oktober 2014 entdeckt und jetzt, nach Ablauf einer 90-Tage-Frist, veröffentlicht. Nach Angaben von Google war Microsofts ursprünglicher Plan, den Fehler in dieser Woche mit einem Patch zu beseitigen. Allerdings habe es Kompatibilitätsprobleme gegeben, weshalb Microsoft den Patch nicht veröffentlicht hat.

Microsoft musste den Patch um einen Monat verschieben

Stellenmarkt
  1. IT Application-Manager - ERP/PDM/PLM (Siemens Teamcenter) (m/w/d)
    über KISSLING Personalberatung GmbH, Großraum Balingen / Rottweil / Herrenberg / Empfingen
  2. Support Spezialist für webbasierte Kundentools (w/m/d)
    SEW-EURODRIVE GmbH & Co KG, Bruchsal
Detailsuche

Microsoft wolle den Patch dafür Mitte Februar 2015 veröffentlichen. Das gefundene Sicherheitsloch bleibt damit weitere vier Wochen offen. Google hat zur Beschreibung des Patches Beispielcode veröffentlicht, der belegt, dass der Fehler existiert. So verfährt Google vielfach, wenn das Unternehmen Sicherheitslücken meldet. Microsoft wird nicht begeistert sein, dass Google innerhalb von drei Wochen ein drittes Sicherheitsloch veröffentlicht, bevor Microsoft einen Patch veröffentlicht hat.

Erst Anfang der Woche gab es Streit zwischen Google und Microsoft über die unterschiedliche Sicherheitspolitik der beiden Unternehmen. Google hatte auf eine Sicherheitslücke in Windows 8.1 hingewiesen - auch hier galt Googles 90-Tage-Regel. Microsoft wurden 90 Tage Zeit eingeräumt, um den Fehler zu korrigieren. Ursprünglich wollte Microsoft den Patch erst im Februar 2015 veröffentlichen, hat das Update aber vorgezogen, so dass der Patch diese Woche erschien.

Die Bekanntgabe der Sicherheitslücke erfolgte durch Google zwei Tage, bevor Microsoft den Patch veröffentlichen wollte. Der Windows-Hersteller bat Google, mit der Veröffentlichung der Sicherheitslücke zwei Tage zu warten. Das lehnte Google ab und erklärte, dass die 90-Tage-Regelung für alle Firmen gleichermaßen gelte.

Googles Sicherheitskonzept gegen das von Microsoft

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
  3. 1:1-Videocoaching mit Golem Shifoo
    Berufliche Herausforderungen meistern
Weitere IT-Trainings

Hier prallen abermals die verschiedenen Ansichten der beiden Unternehmen aufeinander. Google agiert nach der Richtlinie der Responsible disclosure, wonach gefundene Sicherheitslücken innerhalb einer Frist geheim gehalten und dann veröffentlicht werden. Bei Google beträgt die Frist 90 Tage, danach werden alle Informationen zu der Sicherheitslücke öffentlich gemacht.

Der Windows-Hersteller möchte hingegen, dass alle Firmen nach der von Microsoft erdachten Richtlinie Coordinated Vulnerability Disclosure handeln. Diese sieht vor, dass Sicherheitslücken generell erst dann öffentlich gemacht werden, wenn ein Patch zur Verfügung steht.

Google veröffentlichte Sicherheitsloch zum Jahreswechsel

Zum Jahreswechsel hatte Google bereits ein anderes Sicherheitsloch in Windows 8.1 öffentlich gemacht. Auch darüber war Microsoft nicht erfreut. Der Windows-Hersteller hätte sich gewünscht, dass sich Google mit der Veröffentlichung geduldet, bis der Fehler korrigiert ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Vidme
Webseiten blenden ungewollt Pornos ein

Eine Pornowebseite hat die verwaiste Domain eines Videohosters gekauft. Auf bekannten Nachrichtenseiten wurden daraufhin Hardcore-Pornos angezeigt.

Vidme: Webseiten blenden ungewollt Pornos ein
Artikel
  1. E-Scooter: Voi wird wegen angeblich unbegrenzter Fahrten abgemahnt
    E-Scooter
    Voi wird wegen angeblich unbegrenzter Fahrten abgemahnt

    Mit einer Tages- oder Monatskarte des E-Scooter-Anbieters Voi sollen Nutzer so viel fahren können, wie sie wollen - können sie aber nicht.

  2. Intel, Playdate, Elektroautos: Elektro boomt, Verbrenner verlieren
    Intel, Playdate, Elektroautos
    Elektro boomt, Verbrenner verlieren

    Sonst noch was? Was am 23. Juli 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  3. Digitaler Impfpass: Kein Zertifikatsrückruf unter dieser Apotheke
    Digitaler Impfpass
    Kein Zertifikatsrückruf unter dieser Apotheke

    Was tun mit den illegal ausgestellten digitalen Impfpässen? Zurückziehen ist nicht vorgesehen. Im Notfall müssen alle neu ausgestellt werden.
    Ein Bericht von Sebastian Grüner und Moritz Tremmel

TheUnichi 19. Jan 2015

Nein, weil er kalkulierbar ist. In Unternehmen will man eben kalkulierbare Faktoren...

plutoniumsulfat 18. Jan 2015

Der Unterschied ist, dass man an Gott glauben kann, während die Dinge, die golem...

SJ 17. Jan 2015

Debian alleine bietet Images an für: amd64 armel armhf i386 ia64 kfreebsd-i386 kfreebsd...

SJ 17. Jan 2015

In meinem Bekanntenkreis wird der PC ersetzt wenn der nicht mehr geht... da stehen zum...

raskani 17. Jan 2015

Wenn genügend Leute bei Apple gelandet sind, dann wird auch deren Unixsystem das...



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • 30% Rabatt auf Amazon Warehouse • Asus TUF Gaming 27" FHD 280Hz 306,22€ • Samsung 970 Evo Plus 1TB 136,99€ • Gratis-Spiele im Epic Games Store • Alternate (u. a. be quiet Pure Wings 2 Gehäuselüfter 7,49€) • Philips 75" + Philips On-Ear-Kopfhörer 899€ • -15% auf TVs bei Ebay [Werbung]
    •  /