Während Google die Besitzer von über 2 Milliarden Android-Geräten ohne einer Lösung der BlueBorne-Sicherheitslücke zurücklässt, hat man wieder einmal etwas gefunden, um Microsoft bei der Sicherheitspolitik kritisieren zu können.
Der Suchmaschinengigant wirft Microsoft nämlich vor, man würde Hackern absichtlich Zeit geben, um Angriffe auf ältere Windows-Versionen, sprich Windows 7 und 8, durchzuführen. Wenn Microsoft eine Sicherheitslücke findet oder darüber benachrichtigt wird, wird diese schnellstmöglich für alle unterstützten Systeme behoben. Ein Google-Forscher will durch den Vergleich von drei Patches herausgefunden haben, dass eine von Google gemeldete Lücke zwar unter Windows 7 und Windows 8 behoben werden musste, jedoch unter Windows 10 bereits zuvor behoben worden war.
Der Google Forscher Mateusz Jurczyk vermutet dahinter selbstverständlich eine Verschwörung und zwar jene, dass Microsoft Sicherheitsupdates vorher für Windows 10 und erst später für Windows 7 und 8 veröffentlichen würde. Auf diese Weise könnten Angreifer den Code vergleichen, um Sicherheitslücken zu finden, welche in den älteren Versionen noch zu finden sind.
Google vergisst: Windows 10 ist nicht Windows 7
Dabei lässt Google völlig außer Acht, dass Windows 10 ein anderes, neueres Betriebssystem ist als Windows 7 und 8 und sich im Laufe der Jahre weiterentwickelt hat. Jene für Sicherheitslücken anfälligen Strukturen könnte Microsoft schlichtweg entfernt bzw. vollständig ausgetauscht haben. Einzelne Fehler in diesen Strukturen bei den älteren Versionen können vorkommen und werden auch behoben, wie der Patch vom September zeigt.
Microsofts Statement dazu unterstützt diesen Punkt. Darin heißt es, das man kontinuierlich in die Sicherheit investiere und Nutzern empfiehlt, Windows 10 und Microsoft Edge zu verwenden für das höchste Maß an Sicherheit.
Dass Microsoft ganze Strukturen eines 7 Jahre alten Betriebssystems nicht austauscht, dürfte klar sein und ist auch völlig unüblich. Google kritisiert hier im Prinzip, dass Microsoft das eigene, neueste Betriebssystem verbessert und ältere Betriebssysteme nicht auf dieselbe Art und Weise pflegt. Das wäre so, als würde man von Google heute verlangen, den Kernel von Android 3.2 auf jenen von Android 8 zu aktualisieren. Genauso gut könnte man Windows 10 schlichtweg auch als Service Pack für Windows 7 und 8 veröffentlichen und dann gäbe es medial einen noch größeren Aufschrei.
Mediale Schelte gegen Microsoft
Martin von Dr. Windows hat die Sache perfekt zusammengefasst, weswegen wir im Folgenden kurz aus seinem Artikel zur Sache zitieren möchten:
„Der Gedanke, dass ein feist grinsender Windows-Entwickler eine Lücke in Windows 10 schließt, um sie in Windows 7 und 8 offen zu lassen, mag ins Weltbild der Zwangsupdate-Verschwörungstheoretiker passen, ich halte das allerdings für unwahrscheinlich.“
Medial wird die Sache allerdings nicht gerade mit der notwendigen Objektivität behandelt, sondern Googles Vorwurf wird darin ohne Prüfung verstärkt. The Register schreibt beispielsweise, Microsoft würde Sicherheitslücken in Windows 10 schließen und Windows 7 und 8 „in die Kälte fallen lassen.“
via Dr. Windows / Quelle: Google
Wenn Googles Behauptung nicht stimmt, würde dann nicht Microsoft bald Klage wegen Rufschädigung in den USA einreichen?
Microsoft hält still, friedliche Einigung a’la ‚Kaspersky-Affäre‘, ganz unter dem Motto: „Der Klügere gibt nach“ (und genau deshalb sitzen weltweit so viele I..ot.n an Schaltstellen der Macht)
Das problem bei solchen aktionen ist, jemand der weiss wie google tick, wie microsoft tickt und wie si ein betriebssystem gebildet wird gibt ein f*** auf googles aussagen gg. MS aber jemand der das nicht sieht glaubt sowas
Ist halt typisch Google. Die dafür bekannt sind, Sicherheitslücken in den eigenen älteren Betriebssysteme (Android) offen zu lassen. Google sollte da lieber still sein, wenn sie es nicht schaffen ihre eigene Software und Systeme sicherer zu machen und ihre Patches nicht zurückportieren können/wollen, und die Android-OEM Hersteller dazu zwingen für alle verkauften Geräten die aktuellste Android-Version und alle Sicherheitsupdates zu veröffentlichen. Wenn die Dritthersteller dazu nicht in einer Festgelegten Zeit in der Lage sind, sollten sie sich überlegen, ob mehrere neue Smartphone-Modelle pro Jahr/Monat wirklich nötig sind.
Yep, man versteckt die eigenen Fehler am besten indem man mit dem Finger auf andere zeigt. (scheint ein Motto von Google zu sein)
Ob google mit dieser Aussage recht hat, kann man nur beurteilen wenn man Details über die untersuchte Lücke kennt.
Windows 10 ist im Kern eben kein anderes Betriebssystem. Die Architektur wurde bereits mit Vista fertiggestellt.
Gerade die anfälligen Teile, welche im Kernel Mode der CPU (Ring 0) ausgeführt werden, müssten vom Code prinzipiell gleich sein (können).
Nicht so kritische bereiche, vor allen Dingen der UI unterscheiden sich natürlich erheblich.
Die Methode die patches für verschiedene OS miteinander zu vergleichen lässt sich prinzipiell durchaus nutzen, um Rückschlüsse auf die Update Politik zu machen. Jedenfalls kann man durch reverse Engineering erkennen, ob der gepatchte Code vermutlich aus dem selben Source Code stammt. Wenn dem so ist, ist die Frage berechtigt, warum die Lücke auf einem neusten System nicht (mehr) vorhanden ist.
Es kann aber so keine Absicht unterstellt werden.
Außerdem: Google scheint viel Geld zu investieren um mitbewerber in Misskredit zu bringen, das klingt eher nach Verschwörung.
Ich kenn jetzt den quellcode von windows nicht, aber es ist ziemlich verwegene zu sagen, man wüsste das so wie google und die anderen es hier darstellst. Mit dem onecore ansatz, unterscheidet sich windows 10 schon relativ erheblich auch in tieferen bereichen des systems, weil es eben an viele verschiedenen stellen im system kleinere Änderungen gegeben haben muss. Das man bei software natürlich die neuere version beim patchen bevorzugt ist auch klar.
Also irgendwelche verschwörungstheorien aufzustellen, über quellcode den man nicht kennt, aufgrund von behauptungen eines konkurrent der sich mehr geld und zuspruch davon versprechen kann, wenn er den konkurrenten diskreditiert, besonders wenn der Konkurrent selbst gerade für etwas vergleichbares kritisiert wird, ist ziemlich… weit aus dem Fenster gelehnt.
Ist das eine Antwort auf meinen Kommentar?
Ich habe nicht behauptet den genauen Aufbau des closed Source zu kennen.
Man kann aber rückschlüsse ziehen.
Grundsätzlich ist das Treiber Modell das selbe geblieben, diese werden im Ring 0 ausgeführt und sind das größte Risiko bei hacks.
Ich gehe davon aus, das Googles Behauptung darauf basiert, das der verwundbare Code welcher durch die patches ersetzt wurde, der selbe ist, wie jetzt bereits in windows 10 vorhanden.
Das sollte einmal von unabhängiger stelle verifiziert werden, denn ansonsten ist diese Behauptung haltlos.
Der „one core“ ist meines Erachtens eine reines marketing. Selbst windows NT war schon so modular aufgebaut das es
Verschiedene prozessor architekturen und ein gekapseltes, ersetzbares Desktop system hatte.
Es kann natürlich sein das Microsoft mit den nachfolgenden windows versionen die kapselung aufgegeben hat und alles zu einem großen monolithischen brocken verwurstet hat. Falls dem so ist kann man aber den „one core“ nur als Nachbesserung von ehemals besserer Software Architektur bezeichnen.
Mal abgesehen davon, daß es bei den Vorwürfen von Google gar nicht um Gerätetreiber ging, können seit jeher für Windows Gerätetreiber als User-Mode Komponenten (v1 COM-basiert und seit Windows 8.1 v2 kompatibel zu Kernel-Mode Treibern) oder auch als Kernel-Mode Komponenten entwickelt werden, je nach Anforderung.
Entsprechend gibt es seit Windows 2000 bis heute zwei Frameworks zur Treiberentwicklung (UMDF und KMDF), wofür die aktuellen Quelltexte heute hier liegen:
github.com/Microsoft/Windows-Driver-Frameworks