Google veröffentlicht schon wieder ungepatchte Windows-Lücke

Die Sicherheits-Forscher des Suchmaschinenkonzerns Google haben erneut eine Lücke in Microsofts Windows-Systemen öffentlich gemacht. Einen Patch wird es wohl erst ein einigen Wochen geben, nachdem es dem Hersteller nicht gelungen war, den Fehler bereits im Januar zu beheben. In Redmond ist man auf Googles Project Zero-Team aktuell ohnehin nicht besonders gut zu sprechen. Erst kürzlich hatte man bei diesem immerhin Microsofts Bitte, mit der Veröffentlichung von Informationen zu einer Windows-Sicherheitslücke zwei Tage länger als die üblichen 90 Tage zu warten, abgeschlagen. So kamen die Daten 48 Stunden vor dem Patch heraus und bei Microsoft war man wütend.

Nun ist die 90-Tage-Frist für eine weitere Sicherheitslücke abgelaufen, die die Betriebssysteme Windows 7 und Windows 8.1 betrifft. Eigentlich wollte Microsoft bereits am Dienstag einen Patch bereitstellen. Die Aktualisierung sorgte aber für Probleme und musste erst einmal verschoben werden. Daher wird die nun von Google bekannt gemachte Sicherheitslücke wohl erst im Februar behoben.

Das kann durchaus zum Problem werden. Denn anhand der Informationen von Google ist es Kriminellen theoretisch möglich, in relativ kurzer Zeit einen Exploit zu entwickeln und die Schwachstelle zu missbrauchen. Allerdings dürfte man bei Microsoft sehr genau verfolgen, wie sich die Lage entwickelt. Sollte tatsächlich Malware auftauchen, mit der die Sicherheitslücke gezielt angegriffen wird, könnte auch ein außerplanmäßiger Patch die Folge sein.

Google-Mitarbeiter hatten die Schwachstelle am 17. Oktober entdeckt und an Microsoft gemeldet. In der Historie taucht erst am 12. Januar die Meldung auf, dass man das Problem in Redmond reproduzieren konnte. Das Problem wurde in der CryptProtectMemory-Funktion entdeckt, die für die Verschlüsselung von Speicherbereichen zuständig ist. Hier werden die Berechtigungen nicht korrekt überprüft, wodurch unbefugte Nutzer die Krypto aushebeln können.