Google stänkert: Microsoft lässt GDI-Sicherheitslücke ungepatcht

Google macht es schon wieder: Die Sicherheitsforscher vom Projekt Zero haben eine ungepatchte Zero-Day-Lücke in Windows aufgedeckt und stellen damit jetzt Microsoft als unfähig bloß, umfangreiche Schwachstellen zu beheben. mehr... Microsoft, Smartphone, Google, Android, Tablet, Usa, Klage, Motorola, Patentstreit, Code, Quellcode, ITC Microsoft, Smartphone, Google, Android, Tablet, Usa, Klage, Motorola, Patentstreit, Code, Quellcode, ITC Microsoft, Smartphone, Google, Android, Tablet, Usa, Klage, Motorola, Patentstreit, Code, Quellcode, ITC

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
anstatt den thematischen schwerpunkt in diesem artikel auf google zu legen, wäre es vielleicht sinnvoller zu hinterfragen warum ms teilweise dermaßen lange benötigt sicherheitslücken zu schließen?!
 
@hangk: Das gibt weniger Streitereien und weniger Kommentare hier. Ergo weniger Werbeeinnahmen und so
 
@hangk: Vielleicht sollte Microsoft damit aufhören, immer mehr Entwickler von Windows abzuziehen und für die Entwicklung der Android Apps einzusetzen. Microsoft sollte wirklich wieder mehr Rescourcen für die Windows-Entwicklung und Fehlerbehebungen einsetzen, anstatt ständig neue Android Apps zu veröffentlichen und sie zu warten.
 
@eragon1992: als ob MS Entwickler von eins ihrer Hauptprodukten abzieht um Android Apps zu entwickeln, in welcher welt lebst du ?

die Android App Entwickler sind eine hand voll von Entwicklern die Apps als design Ideen entwickeln mehr nicht
 
@CARL1992: Als ob Entwickler erst mal eben ein paar Monate im Windows GDI Bereich rumentwickeln, dann meinetwegen zur Windows Mobile Abteilung versetzt werden und nun etwas Android Apps zu schreiben...obwohl - eigentlich ergibt das alles nur so Sinn :D
 
@eragon1992: Es werden keine Windows-Entwickler abgezogen, um Android-Apps zu bauen, das ist absoluter Unsinn.
 
@hangk: Aber wenn MS gegen Google hetzt ist das Ok ?

Stichwort: Scroogle - Gekaufte Anti-Google-Artikel von MS.

Merke:
Kein System ist ohne Fehler, kein Unternehmen fehlerfrei...und gegenseitiges
anstänkern gehört einfach dazu. Kein Grund sich aufzuregen.
Denn jeder von den beiden hat genug Dreck vor der eigenen Haustür.
Genauso wie alle anderen auch.
 
damit hier keine unklarheiten aufkommen: zero-day-lücke heißt, daß diese lücke schon aktiv ausgenutzt wird...da ist ein längeres verschweigen gegenüber den usern schon etwas mehr als fahrlässig...und wenn ein großkonzern eine schon detailiert gemeldete lücke in einem ganzen jahr nicht beheben kann, dann sollte der schlicht und einfach in volle haftung für alle dadurch entstandenen schäden genommen werden, so wie es in der hw-industrie üblich ist...ein ganzens jahr ist in der sw-branche schließlich schon ne ganze ewigkeit...
das nichtschließen dieser lange bekannten lücke stellt auch schön die nsa-garantie ins richtige licht...
da kann sich jeder leicht sein teil zu denken...
 
@Rulf: Woher kommt denn bitte die definition dass es aktiv ausgenutzt wird? Das heißt "zero day" mitnichten....
 
@0711: Wenn es noch nicht genutzt werden würde hätte die Entwickler mehr Zeit zum Patchen als null Tage.
 
@otzepo: die lücke wurde veröffentlicht, ausgenutzt wird sie nach derzeitigem stand nicht...aber ganz generell, google kennt eine lücke, warum sollte die sonst niemand kennen? Die zeit für die Entwickler ist abgelaufen und google handelt richtig mit der Veröffentlichung um den druck zu erhöhen, kunden/Nutzer für die Problematik zu sensibilisieren/warnen, MS hat hier ganz klar versäumt in einer vertretbaren zeit zu reagieren. (unabhängig von der schwere oder der ausnutzbarkeit der lücke)
 
@Rulf: Wo steht denn, dass die Lücke bereits aktiv ausgenutzt wird? Zumal, wenn man manipulierte Bibliotheken in ein System bekommen muss, um diese GDI-Lücke ausnutzen zu können, ganz andere Lücken zu schließen wären, bevor man sich dieser hier annehmen sollte.
 
Hat Google nicht selbst mit sich zu tun in dieser Hinsicht? 0.o
 
@wingrill9: ... du springst also auch von der Brücke, wenn dein Nachbar das tut? Sorry - aber deine Aussage, so richtig sie auch sein mag, hat hier nichts zu suchen.

Wenn es wahr ist, dass dieser Vorwurf berechtigt ist, dann ist das Versäumnis von MS nicht zu tolerieren - Punkt!
Eine Firma, die eine bekannte Zero-Day-Lücke nach fast einem Jahr immer noch nicht vernünftig gepatcht hat, kann man im Endeffekt nur noch kriminell nennen ...
 
@Thaquanwyn: Pff... Das ist nur ein Mäkeln eines Konkurrenten. Google sollte vor der eigenen Tür kehren.
 
@wingrill9: Jepp, da hast du recht. Bei Android wartet man viel länger auf Sicherheitsupdates, falls sie überhaupt für das eigene Smartphone irgendwann mal verfügbar sind. Google sollte sich da wirklich erstmal um das eigene löchrige Android System kümmern.
 
@eragon1992: Ja, es auch so, dass dieser Fingerzeig auf ein gleichwertiges Unternehmen eher wie ein Verpetzen wirkt. Hat das Google nötig? Denke nicht.
 
@eragon1992: ... du lügst dir doch in die eigene Tasche - oder bist du schon so betriebsblind, um nicht zu erkennen, wie fahrlässig das Vorgehen von Microsoft ist?

Und das Google sich mehr um Android kümmern sollte, stelle ich gar nicht in Zweifel, doch es bleibt für mich dabei, dass man eine Baustelle nicht gegen die andere aufrechnen kann ...
 
@wingrill9: MS und Google gleichwertig ?...wohl kaum.

Auf der Rangliste steht Google auf Platz 1 und MS mittlerweile
auf Platz 5 abgerutscht
Selbst das hierzulande AFAIK noch nicht einmal vertretene AT&T
ist wertvoller als MS

Aber....wenn MS tatsächich eine bekannte Lücke ein ganzes Jahr
lang offen lässt, ist das nicht viel anders, wie den ganzen
ungepatchten billigen China-Android-Möhren.
Und Google darf hier durchaus dazu etwas sagen....ist ja bei
MS nicht das erste mal, das sie lange bekannte Löcher erst
geschlossen haben, nachdem Google die Sache veröffentlichte.
 
@wingrill9: Doch, sie haben es nötig....
 
@wingrill9: ... für mich hat das nichts mit Verpetzen zu tun! Google hat Microsoft innerhalb eines ganzen Jahres zweimal auf eine Zero-Day-Lücke hingewiesen, und der Fehler ist trotzdem immer noch nicht vernünftig behoben.

Ergo hat sich Google wohl gesagt, wenn das nicht im Stillen geht, müssen wir eben an die Öffentlichkeit gehen. Und das Google dabei möglicherweise auch so etwas wie Schadenfreude empfindet, will ich erst einmal gar nicht in Abrede stellen ... ;-))
 
wenn Google genausoviel Zeit aufwenden würde in Android die schlimmen Probleme zu beheben, die sie aufwendet andere anzupatzen, wär Android vielleicht etwas sicherer...
 
@Tintifax: Tun die doch, Google hat ebenfalls seit 1,5 Jahren jeden Monat einen "Patchday" für Android. Nur leider interessiert dass die meisten Hersteller nicht (insbesondere bei den günstigeren Modellen).
 
@Stefan1200: Das wissen die Honks sehr wohl. Passt ihnen argumentativ aber nicht in den Kram, da sie sonst nur die Hersteller aber nicht Google anschwärzen könnten.
 
@Niccolo Machiavelli: Solange Honks nicht kapieren dass das dem User vollkommen egal ist, und nicht jeder sein Leben damit verbringen wollen diese Patches zu suchen und auch zu finden, solange fanboys wie du nicht kapieren dass Google hauptverantwortlich dafür ist dass ein Großteil der Android Geräte in der kompletten Lebenszeit ungepatcht bleibt, solange wird es die Diskussion geben. Google ist hauptverantwortlich für die unzähligen Malwareschleudern die im Umlauf sind. Ein System groß machen und dann für Konzeptprobleme nicht verantowrtlich sein wollen,.... aber egal, passt schon, ist ja "Freiheit" sich sowas zu kaufen
 
Liebes Winfuture Team: bei so einem Artikel wäre die genaue Art des Fehlers interessant, ebenso wie die verifizierung des ZeroDay Kriteriums.

Letztes Mal als von ZeroDay die Rede war und Google die mangelnde Sicherheit von Windows angeprangert hat, war die "Schwachstelle" nur ausnutzbar, wenn man physisch vor dem Rechner gesessen ist. von ZeroDay kann da echt keine Rede sein.

Gibt es denn dieses Mal eine Bestätigung, dass es sich tatsächlich um Remote nutzbare Schwachstellen handelt? Oder braucht Google nur wieder Munition und schickt "Journalisten" die nicht nachprüfen vor (es scheint ja recht gut zu funktionieren bei den ganzen fehlerhaften Artikeln die im Netz so herum schwirren).
 
@dustwalker13: Warum kann da von Zero Day keine Rede sein? Die Lücke ist veröffentlich ohne abhilfe und kann ausgenutzt werden...wie die lücke ausgenutzt werden kann ist dabei doch völlig irrelevant
 
@0711: schlampigkeit meinerseits - sollt zero-day-exploit heißen, als zero-day-vulnerability qualifiziert es sich natürlich, wenn auch das in dem fall wohl ein sehr theoretisches problem sein dürfte (siehe mein post weiter unten).
 
Hab mir den Report mal angesehen. So ein Bug würde als Low bis Medium eingestuft werden in Sachen Sicherheitsrelevanz (trotzdem sollte er mittlerweile behoben sein).

Alles was man damit machen kann ist Screen-Content aus Internet Explorer und anderen Programmen, die die entsprechende Schnittstelle nutzen auszulesen und auch nur dann, wenn man bereits den User entsprechenden Code unterjubeln konnte.

(As a result, it is possible to disclose uninitialized or out-of-bounds heap bytes via pixel colors, in Internet Explorer and other GDI clients which allow the extraction of displayed image data back to the attacker.)

Der Exploit geht nicht über Programmgrenzen hinaus, ebenso wenig über Sessions.

Also ja: wenn es einer schafft, jemanden auf eine Seite zu locken, die entsprechend präpariert wurde und dann auch noch dazu bringt (ev durch vortäuschen irgendwelcher Logins) dass diese Person sensible Daten preis gibt, dann kann man diese - sofern sie am Bildschirm sichtbar sind auslesen.

Gleiches gilt, wenn jemand ein entsprechend präpariertes Programm herunter lädt und ausführt.

Gilt aber beides nur für die jeweilige Session ... also es würde mich mehr als wundern, wenn das bereits aktiv ausgenutzt wird, die möglichen Szenarien sind viel zu beschränkt, da gibt es deutlich effektivere Methoden um an Userdaten zu kommen.

Mit Edge dürfte das nicht funktionieren, meines Wissens setzt der anders auf (kann mich aber irren).

Viel Lärm um - wenn schon nicht Nichts dann zumindest - sehr wenig ...
 
@dustwalker13: gerade gefunden ... laut mspoweruser ist tatsächlich wieder phypischer zugriff nötig um die schwachstelel auszunutzen, wenn das stimmt kann sie also nicht einmal remote genutzt werden.

"It affects Windows Vista Service Pack 2 all the way up to Windows 10 but fortunately requires physical access to exploit."

na ich bin sicher horden an hackern sind im augenblick in ganz europa unterwegs um mal eben an der tür unwissender windows user zu klingeln und schnell den rechner zu kompromittieren ... :P
 
@dustwalker13: Solche "konstruierten Sicherheitslücken" die in der Realität
kaum vorkommen dürften umschreibt man bei Heise immer gerne mit:

"Sicherheitsforscher haben herausgefunden...."

Als moderne Variante des bekannten Märchenanfangs von: "Es war einmal..."

Das spielt aber keine Rolle...es gibt AFAIk zwischen den Firmen klare Absprachen
wie mit Sicherheitslücken (und seien sie noch so konstruiert und theoretisch),
umzugehen ist..und es gibt eindeutige Fristsetzungen. Und MS hat sich zum
wiederholten Male nicht daran gehalten.Und es ist davon auszugehen, dass
sich MS bei *RICHTIG SCHWEREN UND GEFÄHRLICHEN" Lücken dann eben
genauso verhält....das ist der spingende Punkt.
 
@dustwalker13: Harmlos? Wenn du nur den IE nutzt und der Angreifer deinen gesamten Webverlauf sehen kann? Sowohl Banking, Schmuddelseiten usw? Ich denke das kann sehr böse enden und man kann durch private Vorlieben sehr schnell erpressbar werden...
 
@freach: hast du dir das genauer angesehen? um das ganze überhaupt nutzen zu können muss man physischen zugriff auf den pc haben ...

an dem punkt wo ein böser hacker physisch vor deinem rechner sitzt ist der umstand, dass er deinen screen über diese "lücke" auslesen kann dann wohl eher dein geringstes problem ...

das ganze ist sicherheitstechnisch de facto irrelevant - sollte aber natürlich dennoch gefixed werden.
 
GDI? Und was ist mit der NOD-Sicherheitslücke? :D
 
"Google stänkert" ... aha..
Winfuture verbreitet jetzt also auch schon Fake-News.^^
Wird ja immer besser.

Mal im Ernst: Nen bischen objektivere Berichterstattung wäre schon wünschenwert.
 
Das sich Konkurenten einer Branche gegeneinander ihre Fehler vorwerfen, um sich selbst besser darzustellen ist nichts Neues. Das einige Nachritenblätter darüber berichten, um für sich Aufmerksamkeit zu erregen auch nicht. Traurig finde ich es nur, wenn Kunden, die diese Produkte nutzen, durch Verschweigen und weiterem Nichthandeln verarscht werden. Da wird es für Microsoft( und später dann für Google) kein gutes Image bei herauskommen. Und Möglich wird das ganze nur deshalb, weil es keine gleichwertigen Altanativen zu Microsoft gibt. Linux jedenfalls mag zwar etwas sicherer sein, dafür kommt man damit als normaler Anwender auch nicht klar und hat somit seine Chance wegen der Bequemlichkeit der Entwickler selbst vergeigt.
 
Was Updates und Sicherheitslücken angeht, da sollte Google aber mal ganz schnell die Klappe halten - in Hinblick auf deren mobiles Ökosystem... (siehe z. B. Stagefright, wo Google selbst auch mehrere Anläufe gebraucht hat und dank der selten dämlichen Update-Problematik die Google bis heute nicht in den Griff kriegt vermutlich immer noch mehrere Millionen genutzte Android-Geräte betroffen sind)
 
"Betroffen sind alle Windows Versionen von Vista bis zu Windows 10"

Und da sage einer XP wäre nicht sicher ... :)
Kommentar abgeben Netiquette beachten!
Einloggen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter