Erst vor wenigen Tagen hat Google eine Sicherheitslücke in Microsoft Edge publik gemacht. Microsoft konnte diese Lücke nicht binnen 90 Tagen beheben und geht davon aus, dass man ein Update mit dem kommenden Patch-Dienstag ausrollen wird.
Unterdessen hat Googles Project Zero-Team weiter nach Sicherheitslücken in Microsofts System gegraben und ist fündig geworden. Zwei Sicherheitslücken hat Google an Microsoft berichtet mit den Labels 1427 und 1428. Beide Lücken hat Microsoft selbst als „wichtig“ eingestuft, nicht allerdings als „kritisch“.
Der Fehler betrifft den SvcMoveFileInheritSecurity Prozessaufruf, welcher bei Ausnutzung dazu führen kann, dass ein Angreifer einer Datei einen beliebigen Security Descriptor zuweist, was möglicherweise zu einer Rechteausweitung genutzt werden kann. Der Fehler kann allerdings nicht aus der Ferne ausgenutzt werden, was bedeutet, dass der Angreifer Zugang haben muss zu einem eingeloggten PC mit einem Standard-Benutzeraccount.
Mit dem letzten Patch-Tuesday war man bei Microsoft davon ausgegangen, dass beide Fehler behoben worden sind. Google wies Microsoft allerdings darauf hin, dass der Fehler 1428 noch nicht behoben wurde und hat die Lücke publik gemacht. Außerdem wurde von den Sicherheitsforschern ein Beispielprogramm in C++ entwickelt, welches den Fehler ausnutzt.
via neowin
Suchen die auch nach Sicherheitslücken bei iOS?
Man muss es mal von der positiven Seite betrachten:
Google trägt damit dazu bei, dass Windows 10 letztendlich sicherer wird.
Wieviele der Lücken Microsoft selbst gefunden hätte, oder wieviele davon dann so schnell geschlossen würden, halte ich für fraglich.
Abgesehen davon, Google veröffentlicht ja auch jedes Jahr seine Sicherheitslücken.
Unter den Namen „Lollipop“, „Marshmallow“, „Nougat“, „Oreo“, … ?
Damit will es Google den Nutzern versüßen… ? Aber ist das dann nicht ein versteckter Mangel? ?
90 Tage sind in der IT-Welt eine Ewigkeit.
Ich frage mich ja, wie viele von Google gefundene Sicherheitslücken innerhalb dieser 90 Tage gefixt werden. Ich denke mal von denen hört man recht wenig.
Ja Google, ihr seid die größten. Immer mit dem Finger auf andere zeigen. Macht sympathisch.
Ich finde es ja super, dass Google das Windows-Betriebssystem immer sicherer macht.
Vielleicht kann Microsoft in ein paar Jahres eine Danksagung aussprechen, dass Google dabei geholfen hat das sicherste Betriebssystem der Welt zu entwickeln 😉
Naja, Google sollte lieber erstmal alle Sicherheitslücken in allen! Android-Versionen auf allen bisher verkauften Geräten (auch die der anderen Hardwarehersteller) komplett fixen, bevor sie mit den Fingern auf andere zeigen.
Ha, die wissen ja selber, dass die das niemals schaffen, deshalb stellen sie lieber andere bloß!
Irgendwann wird es hoffentlich mal eine Revanche geben ??
(warum wird hier der Ninjacat-Smiley nicht angezeigt?)
In der „verbotenen“ WinArea App sieht man ihn richtig, in der alten, wieder „offiziellen“ App nicht so. Dort sieht man eine Katze und ’nen Drachen (?)…
Nein, das ist absolut nicht das gleiche. Ich bin kein Google-Freund, daher mag ich es nicht Google verteidigen zu müssen. Aber: bei Android kannst du eher davon ausgehen, dass ein kritischer Bug innerhalb weniger Wochen gefixt wird, wenn du ihn meldest. Wenn es ein kritischer Bug war, ist dir ein Dank sicher und im besten Fall sogar eine Anstellung. Bei Microsoft hätte ich mit der aktuellen Richtung fast Angst, dass du bald rechtliche Probleme bekommst.
Weiterhin meldet Google sicherlich nur Bugs in noch supporteten Versionen – zumindest hab ich schon lange keine Nachricht von Sicherheitslücken in Windows XP gelesen. Warum also sollte Google ALLE Android-Versionen fixen?
Und schließlich: Wenn die Hersteller keine Updates rausgeben, was soll Google da machen? Ja, Android ist an der Stelle technisch veraltet, aber das ist nun mal so. Das war bei Windows Phone aber noch genauso – wenn man nicht Insider war.
+1
Naja, 90 Tage – da ist ein Fingerzeig schon berechtigt. Schließlich geht es nicht um Microsofts Fehler, sondern um die Sicherheit der Nutzer. Und wenn Google Sicherheitslücken findet, dann findet die auch jemand anderes, die dann aber ganz bestimmt nicht an die Öffentlichkeit gehen.
Außerdem wird hier Microsoft endlich mal gefordert, einen besseren Workflow zu erarbeiten. Wie gesagt, 90 Tage ist alles andere als unfair – außer Windows ist so massiv schlecht programmiert, dass es hier zig Seiteneffekte gibt. In beiden Fällen verstehe ich aber nicht, warum Zeit in sinnlose neue Features implementiert wird.
+1
+640
Dieses Problem hat Microsoft schon länger. Sie setzen sich selbst unter Druck, immer wieder neues rauszubringen, was dann halbgar rausgeschmissen und später wieder aufgrund zu vieler Bugs gestrichen wird. Ich fände es auch besser, wenn sich MS mehr Zeit nehmen würde, um nach bestehenden Fehlern zu suchen und zu beheben. Sie könnten ja auch mal bei Googles Produkten nach Fehlern suchen. Ach nein, die größte Lücke ist der Suchmaschinengigant selbst…
Nun ja, 90 Tage sind ausreichend wenn es sich um einen einfach bis „normal“ behebbaren Fehler handelt. Ich kenne diesen Fehler nicht gut genug um das einschätzen zu können.
Aber bei Konkurrenten nach Fehlern zu suchen und dann pauschal für alle Arten von Fehlern 90 Tage anzusetzen (quasi zu erpressen) ist IMHO nicht in Ordnung. Dieser Bug kann auch nicht aus der Ferne ausgenutzt werden insofern ist er schon einmal nicht so schwer einzustufen wie beispielsweise die Meltdown und Spectre Bugs der CPU Hersteller.
Sicher muß Microsoft mehr machen um Sicherheitslücken zu stopfen, meines Erachtens ist aber die Vorgehensweise von Google mehr als grenzwertig.
Warum wird nicht z.B. eine zentrale, Herstellerunabhängige Beschwerdestelle eingeführt bei der Konkurrenten oder Forscher etc. Bugs einreichen können. Dann könnte man dort entscheiden wie viel Zeit es gibt und wie nan den Druck auf Unternehmen erhöhen kann, welche nicht genug unternehmen um Sicherheitslücken zu stopfen. (Ach ja geht ja nicht, dann käme die NSA und erklärt Sicherheitslücken für eine Bedrohung der „nationalen“ Sicherheit und wird sich solch eine zentrale Stelle unter den Nagel reißen)
Eigentlich empfinde ich die neunzig tage sogar zu viel. 14 wären angebrachter. Zumindest eine Rückmeldung sollte bis dahin geschehen mit Details zum Zeitplan. Microsoft (und Google) sind groß genug, da kann man sowas zutrauen. Die ganzen guten Leute, die Ahnung haben, sind weg? Selbst schuld Nadella…
Und Ja Microsoft könnte das gern auch bei Google machen uns ja beide können das gern bei meiner Software machen – kostenlose FÄHIGE Tester und analysten sind sonst gar nicht zu bekommen.
Du bist kein Entwickler in einem etwas größerem Unternehmen oder?
Gerade die größeren Teams benötigen länger Zeit, wie gesagt kommt immer auch auf die Art des Fehlers an. Der Testaufwand kann auch den reinen Bugfix bei Weiten übertreffen (!).
Und der aufschrei und Image verlußt ist jedes mal groß wenn ein bugfix neue ungeahnte bugs mit sich bringt.
Man muß auch beachten das das stopfen von Sicherheitslücken für das Rechnungswesen einen kaum rational zu erfassenden Aufwand darstellt!
14 Tage fix halte ich für utopisch. Überhaupt pauschale Zeitangaben bzw. ULTIMATEN sind in meinen Augen Populismus. In die Welt gesetz vermutlich von entweder nicht Sachkundigen Leuten oder der Konkurrenz.
Die NVD des NIST gibt es ja schon lange. Es ist eigentlich auch bei verantwortungsbewußten Sicherheitsexperten üblich über die Eploits Verschwiegenheit zu bewahren bis man unter Einbeziehen des Herstellers einen Veröffentlichungstermin festgelegt hat. Ginge es Google um mehr Sicherheit, dann sollte diese Firma zuerst einmal eine funktionierende Update-Infrastruktur auf ihrer Plattform etablieren. Es geht Gpogle aber nur um Konkurrenzkampf, was man alleine daran sieht, daß sie die Veröffentlichung von Lücken die ihre eigenen Produkte betreffen sehr wohl länger zurück halten.
Danke für die Info, kannte ich noch nicht.
Wäre meines Erachtens nicht schlecht im Artikel bei neuen google „Wohltaten“ auch die alternative zum vorgehen zu erwähnen.