Google legt Windows-Sicherheitslücke offen, Microsoft ist stinksauer

Die Veröffentlichung einer aktiv ausgenutzten Sicherheitslücke in einem Microsoft-System durch den Suchmaschinenriesen sorgt nicht zum ersten Mal für Verstimmung zwischen den beiden Unternehmen: Denn Google hat sich entschieden eine aufzudecken, und das nur wenige Tage nachdem man sie nach Redmond gemeldet hat. Die kritische Sicherheitslücke in Windows wurde an Microsoft erst am 21. Oktober übermittelt und dennoch hat sich Google entschieden, diese offenzulegen. Google begründete diese Entscheidung mit der Tatsache, dass der Exploit bereits in freier Wildbahn ausgenutzt werde. Das bedeutet, dass Angreifer bereits Schadcode für diese spezielle Schwachstelle geschrieben haben und diesen verwenden, um in Windows-Systeme einzudringen.

Zero-Day-Lücke

Derartige so genannte Zero-Day-Lücken, die bisher also völlig neu und auch noch nicht angesprochen worden sind, werden üblicherweise an den Hersteller einer Software übermittelt. Dieser bekommt vom meldenden Unternehmen eine gewisse Zeit (üblicherweise 90 Tage), um diese anzusprechen. Sollte dies innerhalb dieser Frist nicht passieren, wird die Lücke - ohne Nennung konkreter Details - veröffentlicht. Das soll den Hersteller zwingen, dagegen etwas zu unternehmen.

Im konkreten Fall geht es um eine "Local Privilege Escalation" im Windows-Kernel. Das kann ausgenutzt werden, um einen "Security Sandbox Escape" durchzuführen (CVE-2016-7855). Davon betroffen ist auch Adobes Flash, hierzu gab es am 26. Oktober bereits ein Sicherheitsupdate. Allerdings ist ein Betriebssystem wesentlich aufwändiger zu patchen, weshalb Microsoft noch daran arbeitet.

Letzteres ist auch der Grund, warum Microsoft derzeit stinksauer ist: Eine Veröffentlichung nach nur wenigen Tagen macht es einem Software-Anbieter unmöglich, eine Lücke rechtzeitig zu patchen.

Und Microsoft machte aus seinem Ärger gegenüber VentureBeat auch keinen Hehl: "Wir glauben an eine koordinierte Schwachstellen-Offenlegung, aber die aktuelle seitens Google bringt Kunden in potenzielle Gefahr." Microsoft verweist auf den Umstand, dass Windows die einzige Plattform sei, bei der es eine Kunden-Verpflichtung gebe, Sicherheitsschwachstellen zu melden und proaktiv betroffene Geräte zu aktualisieren. Die Redmonder empfehlen außerdem, Windows 10 und Microsoft Edge für höchstmöglichen Schutz zu verwenden.

Flash bereits gepatcht

Problematisch ist an der Google-Veröffentlichung vor allem, dass der Exploit Flash erfordert. Da diese Komponente aber bereits gepatcht ist, stellt die Lücke eine nicht mehr ganz so große Bedrohung dar. Deshalb fühlt sich Microsoft zu Unrecht von Google bloßgestellt und meint, dass es dem Suchmaschinenunternehmen darum ging, Microsoft eins auszuwischen - die Lücke selbst wird man aber natürlich schließen müssen.

FAQ: Flash deaktivieren So geht's in Ihrem Browser Adobe Flash-Download Inklusive neuem Sicherheitspatch