Sicherheitslücke bei Windows 7 und 8.1

Google hat die dritte Zeroday-Lücke in Windows enthüllt

| Autor / Redakteur: Thomas Joos / Thomas Joos

Tom's Admin Blog
Tom's Admin Blog (Bild: Tom Joos)

Sicherheitsforscher von Google haben bereits neue Zeroday-Lücke veröffentlicht, obwohl Microsoft mitteilte, dass ein fertiger Patch aufgrund Kompatibilitätsprobleme verschoben wurde. Mittlerweile hat Google eine weitere Sicherheitslücke bei Windows 7 und 8.1 bekannt gegeben.

Sicherheitsforscher von Google haben bereits neue Zeroday-Lücke veröffentlicht, obwohl Microsoft mitteilte, dass ein fertiger Patch aufgrund Kompatibilitätsprobleme verschoben wurde. Mittlerweile hat Google eine weitere Sicherheitslücke bei Windows 7 und 8.1 bekannt gegeben. Diese Lücke kann verwendet werden, um auf den verschlüsselten Speicherinhalt eines Programmes zuzugreifen.  Dadurch gelingt zwar kein direkter Zugriff aus dem Netwerk, dennoch besteht die Möglichkeit, dass mit Hilfe anderen Lücken, die Sicherheit des Betriebssystems geschwächt wird. Neben der genauen Beschreibung der Zeroday-Lücke, hat Google auch Beispielcode für einen Exploit veröffentlicht.   

Seit Anfang des Jahres hat Google bereits drei Zeroday-Lücken in Windows entdeckt und bekanntgegeben. Microsoft hat dieses Vorgehen stark kritisiert. Bereits am Januar-Patchday wollte Microsoft ein Update veröffentlichen, welches aber aufgrund von Kompatibilitätsproblemen auf den Februar-Patchday verschoben wurde. Obwohl Google davon wusste, wurde der Exploit planmäßig bekannt gegeben.

Sicherheitsforscher werden von Microsoft gebeten, Details von Sicherheitslücken erst bekannt zu geben, wenn ein Patch verfügbar ist. Wegen dieser Meinung geraten Google und Microsoft oft in Diskussionen. Sicherheits-Teams von Google lassen Firmen 90 Tage Zeit einen Patch zu entwickeln. Schaffen sie es nicht, wird die Lücke, wie bei diesem Fall, veröffentlicht. Seit Gründung des Projects „Zero“ jagt Google gezielt Zeroday-Lücken.

Bei Microsoft kommt es in letzter Zeit immer häufiger zu Problemen bei der Bereitstellung von Patches. Auch Sicherheitsforscher kritisieren, dass Updates für Lücken zu lange auf sich warten lassen. Wird ein Patch von Microsoft zu früh veröffentlicht, ist es möglich, dass Nutzer Probleme bekommen und Systeme instabil laufen. Wartet Microsoft jedoch zu lange, riskiert das Unternehmen gefährliche Lücken auf den Rechnern seiner Nutzer.