Google hat kürzlich eine Sicherheitslücke in Windows 10 offengelegt und zwar nur 10 Tage nachdem diese an Microsoft berichtet wurde. Darüber ist man bei Microsoft nicht sonderlich glücklich und Windows-Chef Terry Myerson meinte, Googles Entscheidung sei enttäuschend.
Windows ist das einzige Betriebssystem mit einer Verpflichtung gegenüber seinen Kunden, Berichten zu Sicherheitslücken nachzugehen und betroffene Geräte proaktiv und so bald als möglich zu aktualisieren.
– Terry Myerson
Microsoft arbeitete mit Google und Adobe, diesen Fehler in Flash und auf Kernel-Level in Windows 10 zu finden und zu beheben. In diesem Moment testet das Unternehmen einen Patch und hatte geplant, das Update am Dienstag, den 8. November auszurollen.
Die Sicherheitslücke erlaubt es, den PC von Angreifern über eine Lücke in Adobe Flash die Kontrolle über einen Browserprozess in Microsoft Edge zu erlangen. Daraufhin werden durch eine Lücke im Windows-Kernel zusätzliche Rechte an den Angreifer übergeben und dieser kann daraufhin einen Backdoor auf dem PC installieren. Die gesamte Prozedur nennt Microsofts Security Respronse Cnter STRONTIUM. Google betonte im Blogpost, dass ein solcher Fehler in Google Chrome nicht existiert, da die Sandbox des Browsers damit nicht durchdrungen werden kann.
Windows 10-Nutzer mit installiertem Anniversary Update sind dank Microsofts Advanced Threat Protection zu einem großen Teil sicher vor dieser Reihe an Attacken. Auf unterschiedlichen Levels kann Windows Defender erkennen, ob sich Angreifer durch STRONTIUM am System zu schaffen gemacht haben und diese davon abhalten. ATP erkennt durch Verhaltens- und Maschinenlernen, wenn beispielsweise DLL-Bibliotheken im System erstellt werden und nicht signiert sind. Laut Microsoft seien Nutzer des Windows 10 Anniversary Update dadurch vor solchen Attacken geschützt.
Dennoch ist es wichtig, dass der Fehler behoben wird, sodass für Nutzer keine Gefahr mehr ausgeht und das wird auch in den nächsten Tagen passieren.
Was denkt ihr? Hätte Google in diesem Fall kooperieren sollen, da ein Update bereits in der Testphase ist?
Quelle: Microsoft
Jeder macht seinen job. Gut so ^.^
Wie ich gestern schon sagte:
MS hätte innerhalb vin 10 Tagen irgend ein Non-Execute ausliefern können um die Flash-Ausführung bedingungslos zu verhindern. Das Leck wäre erstmal gestopft (alles andere ist irrelevant!), Google hätte die Fresse gehalten, die Erde hätte sich weitergedreht…
Nachdem niemand den Flash-Dreck vermisst hätte, wäre das vll. sogar noch als großes Feature in die Betriebssystemgeschichte eingegangen. ?
PC-Sicherheit erfordert radikale Maßnahmen. Wenn MS diese nicht ergreifen will, dann müssen sie sich eben vorwerfen lassen, Heulsusen und Weicher zu sein. Ihr habt nicht begriffen, dass Google hier nicht die Unfähigkeit von MS sondern – VIEL SCHLIMMER – den UNWILLEN belegt hat.
Als MS-User bin ich dem ansonsten imho „Scheißkonzern“ Google dafür aufrichtig dankbar. Ihr solltet das in dem Fall auch sein. Dass Google selbst sicherheitstechnisch hochgradig inkompetent ist, spielt keine Rolle.
Versuch erstmal selbst ein Betriebssystem mit eigenen entwickelten Kernel (kein Linux-/ oder Unixkernel) komplett fehlerfrei zu erstellen, was du garantiert auch nicht schaffen würdest. Einen Patch für Betriebssysteme zu erstellen und auf Komplikationen mit anderen Systembestandteilen und Software zu testen kann schon mal länger als 10 Tage dauern. Wer schnelle Patches fordert, braucht sich dann aber auch nicht darüber beschweren, wenn weitere Fehler auftauchen, das System oder andere Programme „zerschossen“ werden.
Wie gut das ich Microsoft Edge
Und Google nicht nutze
?
Gestern nacht gab es ein Update von MS kam ca. 1.00Uhr. Hat rechtlange gedauert ca. 20min. Kann es sein das es etwas damit zu tun hat?
Scheint ja die einzige bekannte Lücke in Windows 10 zu sein. Irgendwie beruhigend.
Wird Zeit mal Google mit Android vor ein Problem zu stellen. Die neuste Version scheint zwar sicher zu sein, aber bei der Fragmentierung dürfe es schwere Lücken bei über 80% der Android Geräte geben. MS nimmt sich da nicht aus der Verantwortung raus und Patcht nur die eigenen Geräte und überlässt den rest dem Hersteller.
„die einzige bekannte Lücke“ 😀 der ist gut
Hab ich nicht ganz ernst gemeint. Aber bei dem Theater wieder bei der einen lücke kommt es mir fast so vor 😀
Oh, stimmt. War wohl mein Sarkasmus-Detektor schon im Schlafmodus. 😉
Du hast einen Sarkasmus Detektor?
?
Ich finde es persönlich super, denn so haben wir davon erfahren und dank Zugzwang wissen wir nun auch wann die Lücke zu sein soll! Sinn und zweck erfüllt!
Wir erfahren es sowieso. Es ist gängige Praxis, Sicherheitslücken zu veröffentlichen, nur halt auch, es nach Verfügbarkeit eines Patches zu tun. Am Ende des Jahres bzw. nach einer gewissen Periode gibt’s dann unabhängige Berichte.
Schliesst Du die Lücken dann schnell alleine? 😉 … oder stellst Dich breit davor, dass jetzt in der Zeit nicht die Freaks sich mit solcher ungestopften Lücke ausprobieren?
Vlt. ist ja auch Dein Datensatz durch einen offenen Behörden-PC oder Krankenkassen-PC oder Hausarzt-PC oder Versicherungs-PC gefährdet.
Freuen würde man sich nur, wenn der Bankkredit plötzlich weg ist. 😉 Eher nicht beim Konto… 😉
MS muss doch sowieso handeln, ob nun der Druck aus der Öffentlichkeit kommt oder nur von dem Wissen um solche Lücken.
Ich finde Google ist da mehr drauf aus, sich besser und Microsoft schlechter hinzustellen. Das find ich nicht so nice wenn die schlechte Nachrichten verbreiten. Weil damit sind Nutzer dann auch nicht geschützt…
Wenn es Google da überhaupt um die Nutzer geht (und nicht um ihr Image)….
+830
Es geht Google natürlich darum MS schlecht dastehen zu lassen!
Ich benutze Google nicht mehr, seitdem ich irgendwelchem Stuss zustimmen soll…es gibt Yahoo, Bing und sonstwas anderes…
Ich finde mit den 2 Suchmaschinen alles was ich brauche.
Google tritt doch nur so hervor, weil sie Kunden verlieren…jeder, der Werbung macht, hat zu wenig Aufträge…
Seht euch Samsung an…
Just my three cent’s…
Versuchs mal mit DuckDuckGo.com. Ist das nicht trackende yahoo 😉
Auch echt zu erwähnen sind die Bangs. Wenn man z.B. !wiki an die Suchanfrage hängt, wird automatisch auf die Suche auf Wikipedia weitergeleitet. Das funktioniert auch mit google, bing, linguee, Wörterbüchern,…
Yahoo, echt jetzt?
Microsoft soll selbiges mit Google machen. Auge um Auge 😀
Das ist doch kein Kindergarten! Aber ich befürchte, das diese Firma es nicht an die große Glocke hängt, wenn bei Google ein Fehler Auftritt…!
Wie oft werden Fehler in Android gefunden? Hab noch nie bei MS jemanden gehört, der einen Fehler konkret kritisiert hat.
Weil MS sich hinsetzt und das OS verbessert…die bei Google haben zuviel Zeit, weil sie ja nichts für die Astroid Nutzer tun…sollen sich halt nen Virenscanner auf’m Handy installieren…
EIN Fehler?
Bei Google?
Was nur einer ? 🙂
Ja nur einer, nämlich Android
… und Zahn und Zahn des Users. Danke, lieber nicht!
Adobe Flash…
… ist immer Schuld.
Oder war das kein Wettbewerb, den Satz fortzusetzen? 😕
Naja, Flash is halt schon so n Ding…
Totgesagte leben länger.
Außer bei Videos setzt sich HTML5 nicht so richtig durch, oder?
Ich persönlich find’s recht „frech“ solche Lücken bereits nach 10 Tagen zu veröffentlichen. Imho sind 90 Tage jedoch auch schon zuviel. Dennoch sollte sich grad Google vielleicht n paar Gedanken machen wie in Zukunft mit Lücken in Android (v.a. 3 und 4) passiert…
… Kann mich mal…
… das größte und gefährlichste Software-Krebsgeschwür aller Zeiten!