2036727

Microsoft sauer auf Google nach Enthüllung neuer Lücke

12.01.2015 | 14:53 Uhr |

Microsoft hat Google öffentlich für die Veröffentlichung von Details zu einer bisher ungepatchten Windows-Lücke kritisiert.

Google hat am Wochenende erneut Details zu einer bisher ungepatchten Sicherheitslücke in Windows veröffentlicht. Es ist das zweite Mal innerhalb weniger Tage, dass auf diese Art und Weise Informationen zu einer offenen Lücke an die Öffentlichkeit gelangen. Entsprechend gereizt reagiert nun Microsoft in einem Blog-Eintrag.

Die betreffende Sicherheitslücke steckt im Log-In-Mechanismus von Windows 8.1 Update (32 / 64 Bit), wie Google Security Research am Sonntag meldet. Demnach war die Lücke im Oktober entdeckt und Microsoft informiert worden. Gemäß der Google-Sicherheitsinitiative "Project Zero" hat der Hersteller 90 Tage Zeit die Sicherheitslücke zu stopfen, ehe die entsprechenden Details zur Lücke veröffentlicht werden. Die Frist war am Sonntag abgelaufen und die Meldung über die Lücke von Google Security Research ist seitdem öffentlich abrufbar.

Auf die Veröffentlichung reagiert kurze Zeit später das Microsoft Security Response Center mit einem Blog-Eintrag. Hauptkritikpunkt: Google hätte mit der Veröffentlichung auch noch zwei Tage bis zum Microsoft Patch-Day im Januar warten können. Dann soll nämlich die Sicherheitslücke geschlossen werden. Angreifer könnten die nun vorab veröffentlichten Informationen über die Lücke für Angriffe ausnutzen und Windows-Nutzer sind bis zur Veröffentlichung des Sicherheitsupdates wehrlos.

"Was richtig ist für Google, ist nicht immer richtig für die Kunden. Wir drängen Google dazu, den Schutz der Kunden zu unserem gemeinsamen primären Ziel zu machen", schreibt Chris Betz, der als Senior Director beim Microsoft Security Response Center tätig ist. Er weist auch darauf hin, dass die Entwicklung des Updates gegen Sicherheitslücken länger als die von Google gesetzte Frist von 90 Tagen dauern könne. "Die Reaktion auf eine Sicherheitsschwäche kann ein komplexer, aufwendiger und zeitintensiver Prozess sein. Als Software-Hersteller haben wir in diesem Bereich Jahre an Erfahrungen", so Betz. Hinzu käme die Notwendigkeit, die Updates ausgiebig zu testen, ehe sie veröffentlicht werden.

Die gereizte Reaktion von Microsoft dürfte noch einen weiteren Grund haben. Erst am 31. Dezember hatte Google mit der Veröffentlichung von Infos über eine weitere, bisher unbekannte Sicherheitslücke in Windows 8.1 Microsoft kalt erwischt. Auch hier erfolgte die Veröffentlichung nach Ablauf der 90-Tage-Frist.

0 Kommentare zu diesem Artikel
2036727