Google machte am 31. Dezember des vergangenen Jahres eine Sicherheitslücke in Microsofts Windows-Betriebssystem publik, mit der es möglich war, Administratorrechte zu erlangen, ohne dass dafür eine Sicherheitsabfrage erscheint. Der Suchmaschinengigant argumentierte damit, dass die 90-tägige Frist zur Behebung des Fehlers abgelaufen und bis dahin kein Fix erschienen sei.
Kürzlich hat Microsoft ein offizielles Statement mit dem Titel „Aufruf zur besseren Koordinierung der Veröffentlichung von Sicherheitslücken“ veröffentlicht, in dem man Google für dieses Vorgehen harsch kritisiert. Die Redmonder erklären darin, dass man Google bereits über die Arbeit an einem Fix benachrichtigt und darum gebeten hatte, die Veröffentlichung zu verzögern. Google habe dies ignoriert und die Beschreibung der Sicherheitslücke Tage vor dem geplanten Release der Fehlerbehebung am 13. Januar veröffentlicht.
Microsoft arbeite im Sinne der koordinierten Veröffentlichung von Sicherheitslücken und spricht damit ein ethisches Thema in der Informatik an, womit sich Experten wie Robert Graham bereits seit Jahren beschäftigen. Jene, die die (sofortige) Veröffentlichung von Sicherheitslücken bevorzugen, argumentieren damit, dass Konzerne schneller reagieren und Updates veröffentlichen, wenn das Bekanntwerden eines Bugs droht. Microsoft ist natürlich nicht dieser Meinung und erklärt, dass das Beheben von Sicherheitslücken eine komplizierte Aufgabe sei, die Zeit und Nachforschungen beansprucht. Im Interesse der Nutzer sollte daher die Veröffentlichung so lange zurückgehalten werden, bis ein angekündigtes Update veröffentlicht wird. Das Vorgehen von Google in dieser Sache empfinde man als provokativ in der Form, dass man Microsoft bei einem Fehler „ertappt“ hätte. Zu guter Letzt ersucht man Google darum, den Schutz der Kunden als kollektives und erstes Ziel anzusehen.
CVD philosophy and action is playing out today as one company – Google – has released information about a vulnerability in a Microsoft product, two days before our planned fix on our well known and coordinated Patch Tuesday cadence, despite our request that they avoid doing so. Specifically, we asked Google to work with us to protect customers by withholding details until Tuesday, January 13, when we will be releasing a fix. Although following through keeps to Google’s announced timeline for disclosure, the decision feels less like principles and more like a “gotcha”, with customers the ones who may suffer as a result. What’s right for Google is not always right for customers. We urge Google to make protection of customers our collective primary goal.
Übrigens hat Microsoft, wie in Aussicht gestellt, im Zuge des jüngsten Windows-Patchdays unter anderem die kritische Fehlerbehebung veröffentlicht. Nähere Informationen diesbezüglich finden sich beim Microsoft Security TechCenter.
