Windows 10 S: Google gibt Sicherheitslücke erneut vor Fix bekannt

Microsoft hat mit Googles Project Zero-Team wahrlich keine Freude. Die Google-Sicherheitsexperten haben erneut eine Windows-Sicherheitslücke veröffentlicht, bevor diese gefixt werden konnte - trotz der Bitte eines 14-tägigen Aufschubs von Microsoft. ... mehr... Windows 10, Windows Insider, Windows 10 Technical Preview, Insider Preview, Windows 10 Insider Preview, Windows 10 Preview, Windows Insider Program, Windows Insider Preview, Build 10135, Windows 10 Build 10135, Windows 10 Insider Preview Build 10135 Bildquelle: WZor Windows 10, Windows Insider, Windows 10 Technical Preview, Insider Preview, Windows 10 Insider Preview, Windows 10 Preview, Windows Insider Program, Windows Insider Preview, Build 10135, Windows 10 Build 10135, Windows 10 Insider Preview Build 10135 Windows 10, Windows Insider, Windows 10 Technical Preview, Insider Preview, Windows 10 Insider Preview, Windows 10 Preview, Windows Insider Program, Windows Insider Preview, Build 10135, Windows 10 Build 10135, Windows 10 Insider Preview Build 10135 WZor

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Vielleicht sollte MS einfach mal sein eigenes "Projekt Zero" starten und anfangen Android und co unter die Lupe zu nehmen. Da dürften recht schnell so einige Lücken zusammen kommen....
 
@Eagle02: War auch mein erster gedanke. Zumal Google damit sicher nicht sympatischer wird in den Augen der Anwender.
 
@Eagle02: Gerade Google mit seinem Androidchaos sollte mal lieber die Füße stillhalten. Fixen ja neuerdings auch jeden Monat zig Sicherheitslücken in Android, bekommen es aber nicht auf Reihe dafür zu sorgen, dass diese auch alle bekommen. Die Hersteller zu Updates zu zwingen bekommen sie nicht hin, aber den Herstellern aufzwingen ihre Datensammel-Apps vorzuinstallieren, das können sie per Lizenzbedingungen für den Namen Android regeln. Zeigt nur, dass Sicherheit für die Nutzer Google eigentlich Scheißegal ist und Google hier nur dumme Augenwischerei betreibt.
 
@Knarzi81: Was meinst du wieso Google Projekt Triebe gestartet hat und Android One?
 
@ThreeM: Leider ist auch Android One keine wirkliche Hilfe. Android One soll es 'einfacher' für die Hersteller machen, Smartphones zu patchen. Aber ohne die Hersteller geht es immer noch nicht. :-(
 
@ThreeM: Was auch egal ist da es genug Hersteller gibt die sich nicht an Project Treble beteiligen werden aus allerlei gründen.
Hauptgrund dürfte wohl sein gründe für Neukauf gibt es kaum noch.
 
@Freddy2712: Sie müssen sich beteiligen, wenn sie neue Geräte mit Android 8 oder neuer verkaufen wollen.
Ja, es gibt einige Hersteller, die Project Treble nicht auf ältere Geräte bringen werden. Dieses Problem wird sich aber mit der Zeit von selbst erledigen.
 
@Freddy2712: Also wenn ich so in die Runde der Herstellergucke, wird Project Treble doch recht gut angenommen. Beispiel Huawei: Dauerte es vor Oreo noch wirklich lange bis es neue Updates und Patche gab, erscheinen nun neue Firmwareversionen fast im Monatstakt.
 
@Eagle02: Das Project Zero sucht und findet Tonnenweise Sicherheitslücken in Linux/Android, einfach mal de CVE Datenbank anschauen.
 
@wertzuiop123: Natürlich aber Google hängt seine eigenen Bugs nicht an die große Glocke.
Ich will nicht wissen wieviel Bugs die in Android schon gefunden hab die eventuell nicht schon seit Monaten ungepatcht sind. Die werden dann aber Garantiert nicht veröffentlicht.
 
@Eagle02: Google patcht die relativ schnell (haben aber auch nicht so eine mega-umfangreiche Software). Apple auch. An die Große Glocke kommts, wenn es die deutschen Medien aufgreifen bzw. sind bei MS gleich viel mehr davon betroffen ;) (googles/das Hersteller Problem mit der schnelleren Verteilung besteht natürlich trotzdem noch)
 
@wertzuiop123: Google patcht ziemlich schnell..... Das weißt du doch gar nicht. Microsoft patcht auch ziemlich schnell...
Ob es am ende wirklich schnell war weiß man erst wenn man auch weiß was sie gefunden haben, wann sie es gefunden haben und wann der Patch raus kam. Ich wette Projekt Zero hat durchaus auch Bugs in Android gefunden die nicht so einfach zu patchen sind und die auch gerne mal Monate ungepatcht bleiben.
 
@Eagle02: "Das weißt du doch gar nich" Doch ich verfolge die Bugs und Updates regelmäßig im Dev Channel und im Chrome Product Forum

"Microsoft patcht auch ziemlich schnell"
Das stimmt. Finde diese 90 Tage Frist (je nach Komplexität) manchmal zu kurz

"die auch gerne mal Monate ungepatcht bleiben"
Ja bei den Herstellern bzw. bei alten Android Versionen und das ist genau Googles Problem
 
@wertzuiop123: du verfolgst die bugs die auch öffentlich in den Foren vermerkt sind jo....
 
@Eagle02: Du scheinst ja Ahnung zu haben... Warum so schnippisch? Es gibt einen öffentlichen issue Tracker
 
@wertzuiop123: ja klar weil da auch alle kritischen Bugs auftauchen.... die bösen jungs schauen da ja auch nicht nach....
 
@Eagle02: Und wo sind dann die Bugs von Dritten, die Google nicht innerhalb von 90 tagen fixt?
 
@Eagle02: Wäre vielleicht besser wenn diese MS-Trupppe ihre eigenen Produkte ansehen würde.
 
@Eagle02: Im Gegensatz zu MS braucht Google keine Ewigkeit plus ne Woche zum Fixen.
 
Wenn also ein Angreifer lokal vor meinem Rechner sitzt und bereits Zugriff hat sollte mein erster Gedanke nun sein "Hoffentlich nutzt er diese Schwachstelle nicht aus."?

Klingt mal wieder nach einer irre relevanten Schwachstelle... *gähn*.
 
Was glaubt ihr eigentlich? Denkt ihr allen ernstes jede von Google gefundene Sicherheitslücke wurde von Google als erstes entdeckt? Nicht wirklich. Die sind schon lange vor Google Wind davon bekommen hat im Umlauf und werden auf einschlägigen Plattformen gehandelt. Daher finde ich das Vorgehen von Google mehr als richtig. Wir sprechen hier vom 19. Februar. 3 Monate. 3 potentielle Monate und mehr in denen Cracker diese Lücke nutzen können.
 
@Mehrsau: ehm nein, nicht ausnutzbare Lücken sind wertlos.
 
@Mehrsau: Es wäre richtig von Google, wenn sie erstmal bei Android dafür sorgen würden, dass die monatlich geschlossenen Lücken auch bei allen geschlossen werden. Google gefährdet mit seiner Androidausgeburt wohl weitaus mehr Leute, denn da kommen die Fixe auch nach 2 Jahren bei 98% nicht an.
 
@Knarzi81: Nur das eben die Mitarbeiter von Project Zero nicht die sind, die an Android arbeiten... Es muss verdammt schwer sein, zu verstehen, dass es in einer solchen Firma, insbesondere von der Größe, für diverse Bereiche auch diverse Abteilungen gibt.

Im übrigen gefährdet auch nicht Google die User mit verspäteten oder nie erscheinenden Android-Updates, sondern die Hersteller von den Dingern. Google haut die Security-Patches ja raus und tut einiges, um es den Herstellern noch einfacher zu machen, Patches auszuliefern ("Treble", das Umlagern von diversen APIs aus dem Betriebssystemkern in die Play-Services oder das Google Service Framework um selbst diverse Dinge aktualisieren zu können). Wenn du kein Bios-Update von MSI bekommst, dass die Spectre-Lücke schließt, ist ja da auch nicht Intel für verantwortlich, die ihre Patches ja an die Partner weitergegeben haben, sondern eben MSI.
 
@NewRaven: Man sieht aber bei MS/Windows das es auch anders gehen kann, Google könnte dieses Problem also schon seit Jahren aus der Welt schaffen, tun es aber nicht.
 
@PakebuschR: Die Frage ist, ob sie das in der Tat heute wirklich noch könnten - ich würde nämlich fast beweifeln, dass die Hersteller die Freiheiten, die sie nun durch die Möglicheit, ihre eigenen Veränderungen in ihre Versionen einbringen zu können, nach so vielen Jahren aufgeben würden. Außerdem darf man hier auch nicht vergessen, dass Android zuerst einmal freie, keine propietäre Software ist, was es Google zumindest erschweren würde, die gesamte Kontrolle über die Distribution zu übernehmen.
 
@NewRaven: Google schreibt auch die vorinstallation ihrer Apps vor, die Hersteller würden da sicher mitziehen oder eben auf eigene/andere ROM umsteigen - das würde wenn dann aber eh nur eine Minderheit tun.
 
@Mehrsau: Generell hast du ja recht das diese Lücken lange bekannt sind (in einschlägigen Kreisen). Aber, jetzt nach dem diese Lücke "offiziell" bekannt gegeben wurde, kann jedes Scriptkiddie diese "nutzen" sofern die Voraussetzungen passen. Und was hätte es Google gekostet noch 14Tage mit der allgemeinen Veröffentlichung zu warten?
Wenn nach dieser gesetzten Nachfrist nix passiert wäre, dann hätte ich vollstes Verständnis. Aber so ??? Ziemlich dünn von Google.
 
@skyjagger: sehe ich genau so. ich weiß zwar nicht, wie lange microsoft zeit hatte, aber bitte. 14 tage aufschub hätte google ja wirklich noch warten können. schließlich ist es ja nicht so, das ms gar nicht reagiert hätte...
 
@pappkamerad: Da geht's nicht die Bohne um die Sicherheit der Nutzer, es ist reine Geschäftstaktik, um dem Mitbewerber zu schaden.
 
@Mehrsau: Gähn, ja, es gibt auch andere, kriminelle Organisationen die Lücken suchen und die nach Belieben ausnutzen und handeln, u.a. Geheimdienste. Gerade daher hat man ja Gruppen ins Leben gerufen, die Lücken suchen und dann auch dem Hersteller melden um die auch zu beheben. Eine ist Googles Project Zero. Aber da kritische Lücken oftmals schon wenige Stunden nach bekanntwerden ausgenutzt werden, ist es sinnvoll erst einen Patch zu veröffentlichen und dann die Lücke. Mit seiner Politik der gnadenlosen Veröffentlichung macht Google viele Nutzer angreifbar und gefährdet ihre Rechner.
 
"Standardprozedere"

Wieder einmal kann man sich fragen: Sind Standards für den Menschen da, oder Menschen für die Standards. Einfach lächerlich.
 
@Memfis: Ja, das Plansoll muss ungeheuer Druck auf die Google-Truppe ausgeübt haben, dass sie gar nicht mehr anders konnten, als jetzt sofort mit der Lücke an die Öffentlichkeit zu gehen... ^^
Kommentar abgeben Netiquette beachten!
Einloggen