Experten zum Streit um Google-Veröffentlichung von Windows-Lücke

Mit der 90-Tages-Frist will Google die jeweiligen Software-Anbieter zwingen, Patches für schwerwiegende Schwachstellen möglichst schnell zu stopfen. Das erfolgte auch bei einer Windows 8.1-Lücke, auch wenn Microsoft den Suchmaschinenriesen gebeten hatte, ausnahmsweise damit zu warten. Im aktuellen Fall beteuerte Microsoft in einem Blogbeitrag, dass man aufgrund der Komplexität den Patch nicht zeitgerecht umsetzen konnte, Microsofts Sicherheits-Chef Chris Betz war entsprechend sauer.

Genug Zeit?

Doch wer hat Recht? Das wollte auch TechRepublic wissen und hat dazu externe Sicherheitsfachleute befragt. Gleich vorweg: Auch diese vertreten dazu abweichende Meinungen, es ist eine Debatte, die schon seit Jahren ohne klares Ergebnis geführt wird.

Tom Gorup, Security Operations Center Manager bei Rook Security, lobt etwa Google für die Konsequenz und stellt fest: "Nur weil die Öffentlichkeit nicht über eine Lücke Bescheid weiß, heißt das nicht, dass diese nicht ausgenützt wird." Sein Firmenkollege und Chef-Entwickler Michael Taylor verweist darauf, dass Microsoft zwei Patch-(Day-)Zyklen Zeit gehabt habe, einen Fix zu entwickeln: "Die Frage ist, warum Microsoft unfähig oder unwillig war, diese Schwachstelle zeitgerecht anzusprechen."

Eine Frist für alle Fälle

Dwayne Melancon von Tripwire widerspricht seinen Kollegen und bezeichnet die sture Einhaltung der 90 Tage nach dem Motto "One Size Fits All" als "unverantwortlich", da hierbei Schwachstelle und Exploit-Code für ein "allgegenwärtiges Software-Produkt" veröffentlicht worden sind. Das sende zwar ein Signal an Anbieter, dass diese Sicherheit ernst nehmen und schnell beheben müssten, "ich glaube aber nicht, dass von diesem Vorgehen Konsumenten und Unternehmen tatsächlich profitieren."

Siehe auch: Patch-Day im Januar - Microsoft schließt 8 Lücken, eine ist kritisch