Googles Project Zero-Sicherheitsabteilung scheint sehr häufig damit beschäftigt zu sein, Sicherheitslücken in Microsofts Systemen zu finden. Grundsätzlich wäre das gar keine schlechte Sache, verbessert man durch solche Berichte an das Unternehmen doch die Sicherheit des Systems. Problematisch wurde es immer wieder dann, wenn die Abteilung die Sicherheitslücken an die Öffentlichkeit weitergab bevor Microsoft eine Möglichkeit hatte, den Fehler zu finden.
So wurde vor Jahren eine Sicherheitslücke bereits 10 Tage nach der Bekanntgabe an Microsoft veröffentlicht. Microsoft kritisierte zurecht, dass 10 Tage für die Lösung einer schwerwiegenden Sicherheitslücke nicht genug seien und wer mit Software zu tun hat, kann dies auch nachvollziehen. Google servierte die Sicherheitslücke für Hacker auf dem Präsentierteller und war sich keiner Schuld bewusst.
Microsoft kontert
Microsofts Offensive Security Research Team ging stets fair mit Unternehmen um, in deren Software man Fehler gefunden hatte. Man gibt Unternehmen genug Zeit, verlängert Deadlines bei schwerwiegenden Fehlern und sucht generell nicht das große Rampenlicht, auch nicht, wenn es um die Produkte der Konkurrenz geht. Nachdem Google seit Jahren aktiv Microsofts Lücken publik macht und teilweise den Verschwörungstheoretiker gibt, scheint man beim OSR-Team nun auf eine ähnliche Taktik zu setzen und kontert nun Google.
Microsofts OSR-Team hat einen Fehler in Google Chrome gefunden, welcher sehr an Googles Beschwerde bei Microsoft über die Update-Politik von Windows 10 und älteren Systemen erinnert. Microsoft kritisiert in dem Sicherheitsbericht, dass Googles Art, Fehler zu servicieren, könnte eine Veröffentlichung von Fehlern zur Folge haben bevor ein Bug behoben wurde.
Der Fehler in Chrome könnte von Angreifern ausgenutzt werden, um Passwörter von einer beliebigen Seite zu stehlen über den PasswordAutofillAgent, man konnte Scripte ausführen und den Nutzer im Hintergrund auf Webseiten weiterleiten, ohne, dass dieser es merkt. Auf diesen Seiten konnten dann ganz unterschiedliche Aktivitäten durchgeführt werden.
Microsoft spendet 15.000 Dollar Bug-Bounty
Der Fehler wurde am 14. September 2017 an Google berichtet und 15.837 US-Dollar war Google für den Fund der Sicherheitslücke laut dem eigenen Bug-Bounty-Programm des Unternehmens schuldig. Microsoft entschied sich dafür, die Summe an das Denise Louie Education Center zu spenden, das Kindern in Seattle eine bessere Ausbildung gewähren soll. Google hat die Summe danach „aufgerundet“ auf 30.000 US-Dollar, welche man daraufhin von eigener Seite gespendet hat für den guten Zweck.
Quelle: Microsoft TechNet