Google veröffentlicht weitere Windows-Lücken
Drei Schwachstellen in Windows ermöglichen die Preisgabe von Informationen oder eine nicht autorisierten Rechteausweitung. Für Microsoft sind die Lücken irrelevant und entwickelt für sie keine Patches.
Googles Project Zero hat drei weitere Windows-Lücken veröffentlicht. Einem Bericht von Computerworld zufolge entwickelt Microsoft keine Patches. Die Anfälligkeiten erfüllen nach Ansicht des Softwarekonzerns nicht die Anforderungen für ein Security Bulletin, das zeigt ein Eintrag in Googles Bug Tracker.
Google hatte Microsoft Ende Oktober sowie Anfang November über die Schwachstellen informiert. Laut dem Konzern führen die Lücken zur Preisgabe von Informationen oder einer nicht autorisierten Ausweitung von Nutzerrechten. Wie Computerworld weiter berichtet, bewerte Microsoft solche Anfälligkeiten in der Regel nicht höher als “wichtig”.
“Die öffentlich gemachten Fehler haben keine ernsten Auswirkungen auf die Sicherheit”, zitiert Computerworld aus einer E-Mail eines Microsoft-Sprechers. “Wir haben nicht vor, ein Sicherheitsupdate dafür herauszubringen.”
Betroffen sind die 32- und 64-Bit-Versionen von Windows 8.1. Wahrscheinlich gilt das auch für ältere Versionen des Betriebssystems. Google hat nur eine der Schwachstellen auch unter Windows 7 getestet. Wie ein Nutzer mitteilt, konnte er einen der Bugs mithilfe des von Google bereitgestellten Beispielcodes auch in der Preview von Windows 10 nachvollziehen.
James Forshaw hat sämtliche von Google veröffentlichten Windows-Lücken entdeckt. Seit August 2014 arbeitet er für Project Zero. Forshaw gilt dem Bericht zufolge als anerkannter Experte für Windows-Sicherheitslücken. Von Microsoft erhielt er eine Belohnung von 100.000 Dollar für die Beschreibung, wie sich Sicherheitstechniken von Windows umgehen lassen.
2013 hatte er eine Schwachstelle in Internet Explorer 11 entdeckt und 9400 Dollar von Microsoft dafür erhalten. Forshaw beteiligte sich 2013 außerdem erfolgreich am Hackerwettbewerb Pwn2Own. Die Präsentation einer Schwachstelle in Oracle Java brachte ihm ein Preisgeld von 20.000 Dollar ein.
Googles Veröffentlichungen von Windows-Lücken hatten vor kurzem zu einem Streit mit Microsoft geführt. Auslöser war die Offenlegung eines Rechteausweitungsproblems zwei Tage vor Microsofts Patchday, zumal Microsoft Google über den bevorstehenden Patch informiert und gebeten hatte, die Veröffentlichung von Details zu verschieben. Google vertritt jedoch die Ansicht, dass die vorgegebene Frist von 90 Tagen ein “optimaler Ansatz ist”. Der Anbieter habe genug Zeit, eine Lücke zu schließen, und der Nutzer erhalte die Möglichkeit, zeitnah auf Schwachstellen zu reagieren.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de