Googles „Zero Day Initiative“ – Team hat mehrere kritische Schwachstellen im Windows Betriebssystem öffentlich gemacht. Diese Schwachstellen nutzen eine Hintertür in Adobe Flash, um sich Zugang zum System des Nutzers zu verschaffen.
Das wäre an sich noch nicht das Problem. Schließlich sind solche Viren-Aufdeck-Teams (HP hat auch eines) dazu da, Unternehmen auf Schwachstellen aufmerksam zu machen und, wenn nötig, unter Druck zu setzen, um die Lücke schnellstmöglich zu schließen. Die Frist dafür beträgt üblicherweise 90 Tage. Innerhalb dieses Zeitraums sprechen die „Aufdecker“ mit den betroffenen Firmen streng vertraulich und erarbeiten gemeinsam eine Lösung.
Google hat die Sicherheitslücke allerdings bereits nach 10 Tagen öffentlich gemacht – laut Microsoft viel zu wenig Zeit, um das Problem zu beheben. Terry Myerson, Executive Vice President und Leiter des Windows und Geräte Teams, zeigt sich in einem offiziellen Blogbeitrag „enttäuscht“ über das Verhalten des Suchmaschinenriesen, die mit der Veröffentlichung Millionen Nutzer einem Sicherheitsrisiko aussetzen.
Ich persönlich kann nicht beurteilen ob Microsoft zu langsam gehandelt hat oder Google hier unrealistische Forderungen gestellt hat, das Verhältnis der beiden Techunternehmen ist dadurch aber noch mehr erkaltet, als es ohnehin schon der Fall war. Die Arbeit solcher Teams halte ich ungeachtet dessen für sehr wichtig, da bereits viele Windows und MacOS Lücken dadurch geschlossen werden konnten. Wenn die Firma mit den größten Sicherheitslücken der Welt darauf aufmerksam macht, hat dies allerdings immer einen negativen Beigeschmack.
Myerson verspricht ein Patch für die Sicherheitslücken innerhalb einer Woche. Den gesamten Blogbeitrag inklusive Informationen über die Hackergruppe STRONTIUM, die die Lücken aktiv ausnutzen, findet ihr HIER.
Was meint ihr? Hat Google die Systemschwachstellen zu schnell öffentlich gemacht oder muss Microsoft sich hier an die eigene Nase fassen?
Bildquelle: Pixabay.com
Da sollte sich doch Google mal an die eigene Nase fassen.
Wer im Glashaus sitzt, der sollte nicht mit Steinen werfen!!!
ja und innerhalb von 10 Tagen fixt man das nicht so schnell
Grundsätzlich ist es immer gut wenn sicherheitsrelevante Lücken gefunden und geschlossen werden, das ist erstmal Fakt. Hier wird aber durch Google ein zusätzliches Gefärdungspotential für Nutzer aufgebaut. Ich bin nur froh das die anderen Techfirmen nicht so handeln und die Lücken von Google’s mobilen Betriebssystem auf diese Art und Weise herausposaunen. Wobei kann mir eigentlich egal sein, da ich Goggle aus meinem Leben komplett verbannt habe und wenn ich solche Meldungen lese kann ich nur sagen: Alles richtig gemacht
Wie hast Du es denn geschafft, Google komplett aus Deinem Leben zu verbannen?
Nahezu jede Internet-Seite nutzt verschiedene Google-Dienste, z.b. Analytics. Wäre natürlich super, man konnte die genauso blockieren wie Werbung.
Das ist möglich und machbar: Ich nutze Firefox mit „NoScript“ als Addon. Google und Amazon Scripte sind damit dauerhaft deaktiviert. Zusammen mit „Ghostery“-Addon habe ich mehr Kontrolle und ist effektiver als (das von mir gehasstes) Adblock.
Stimmt, hatte ich auch mal im Einsatz. Hab ich total vergessen. Weis gar nicht mehr, warum ich es nicht mehr nutze. Irgend etwas hat mich genervt.
Aber ich werde es nochmal austesten.
Danke für die Info.
Android 1 bis 5 ist doch auch eine Sicherheitslücke , erst recht mit Chrom!
Google versäumt doch keine Gelegenheit, um Microsoft zu schaden (Stichwort YouTube-App-Verweigerung für Windows Mobile), jetzt vor allem in Hinblick auf die eigenen Ambitionen in Richtung Desktop mittels aktuell anstehendem Release von Android-ChromeOS.
ja kommt mir auch so vor
Ich würde es auch besser finden wenn Microsoft den Google nutzern nicht alles gebeben würde also das Microsoft die ein oder andere app einfach nicht für Android macht sollen die sich doch kümmern wie sie so eine app nutzen ich kann’s nur nicht verstehen warum microsoft sich das so gefallen lässt
Vielleicht solte Microsoft mal so ein Team gründen und dann Android mal durchleuchten und dann ganz genaue anleitungen veröffentlichen wie man diese Sicherheitslücken ausnutzt.
Ich finde nicht, dass Microsoft sich auf ein Kindergarten-Geplänkel einlassen sollte. Wie gesagt, nicht nur Google hat solche Teams.
aber nur google macht es so lächerlich und lässt MS nur 10 Tage zeit
Na, Google scheint’s ja schwer nötig zu haben. ?
Wir wissen doch nicht, was passiert es. War es Kalkül oder der versehentliche Klick eines Azubis… Ja, es hat einen sehr faden Beigeschmack in der Hinsicht, dass Google ja nun sein eigenes Desktop-OS raushaut. Wenn Google clever ist, dann entschuldigen sie sich dafür.
Die Leute die es interessiert finden solche Lücken selbst oder auf anderem Weg als Google. Warum man sowas überhaupt öffentlich machen muss ist mir schleierhaft.
Eine Woche ist zu kurz und 90 tage zu lang. 30 Tage, wären für mich ok.
Zitat Dr. Windows:
„Microsoft habe man am 21. Oktober darüber informiert, da bislang aber noch keine Reaktion erfolgte und kein Patch zur Verfügung steht, folgt nun die Veröffentlichung. Googles Sicherheitsteam hat eine eigene Richtlinie: Nach Entdeckung einer Schwachstelle wird der betroffene Software-Entwickler informiert und hat dann sieben Tage Zeit, für Abhilfe zu sorgen. Geschieht dies nicht, macht Google die Lücke öffentlich.“
„Myerson verspricht ein Patch für die Sicherheitslücken innerhalb einer Woche.“
Wohl etwas zu spät. Hätte Google das nicht publik gemacht, würden wir wohl noch etwas länger auf einen Patch warten.
Fazit: Selbst schuld.
Nein, das geht einfach nicht. Für einen kleinen Fall kann 7 Tage ausreichend sein. Aber was ist mit Sicherheitslücken, welche wie in diesem Fall Konzernübergreifend sind (Adobe) und evtl. Eingriffe tief ins System erforderlich macht? Vielleicht sogar auf allen Windowsgeräten? Da kann jemand nicht einfach hergehen und ungeachtet des Schwierigkeitsgrades nach kurzer Zeit Lücken öffentlich machen. Die bekommen doch sicher Geld für die Ansprache der Lücke. Ich tippe eher, dass Alphabet zu gierig war/ist und MS erpressen wollte/hat.
Ich gebe dir Recht.
Nur wenn es heißt, „keine Reaktion erfolgte“, sage ich selbst schuld.
Wenn Microsoft also wirklich nicht in 7 Tagen reagiert hat…
Z.B.: Vielen Dank für den Hinweis, wir arbeiten umgehend an einem Patch.
Wie es dann wirklich ablief, weiß wohl nur Microsoft und Google. 😉
Selbst schuld würde ich nicht unbedingt sagen.
1. Wenn alle anderen Unternehmen oder Teams eine gemeinsame Richtlinie zur Veröffentlichung haben, dann sollte sich auch ein Google dran halten.
2. Sollte man mal bei seinem System mal schauen dass die Sicherheitslücken geschlossen werden. Hier ist man jedoch als Kunde der Willkür der Hersteller ausgeliefert. Da sollte Google sich mal was einfallen lassen.
3. Wenn man es sehr genau nimmt, könnte man schon davon sprechen dass man Microsoft bzw. Windows schaden möchte. bevor man sein eigenes OS präsentiert. Wobei ich das jetzt nicht unterstellen wollen würde.