- Project Zero hat die „schlimmste Sicherheitslücke“ bei Microsoft entdeckt
- Die Forscher des Projekts decken regelmäßig sicherheitsrelevante Lücken auf und setzen Microsoft eine Frist
- Sollte die Lücke nicht geschlossen werden, wird sie öffentlich gemacht
Project Zero schlägt wieder zu. Googles Helden im Auftrag der Menschheit, haben laut eigenen Aussagen die schlimmste Sicherheitslücke überhaupt bei Microsoft entdeckt. Nun setzt der Suchmaschinenriese den Redomndern die altbekannte Pistole auf die Brust: „90 Tage, sonst machen wir die Lücke öffentlich.“
Prinzipiell ist es wichtig und richtig, dass sicherheitsrelevante Lücken entdeckt und geschlossen werden. Dass Google hier nur das Wohl der Nutzer im Kopf hat, erscheint aufgrund des starken Konkurrenzverhältnisses allerdings etwas schwer zu glauben.
Project Zero hat bisher nur kleine Details zum Sicherheitsrisiko veröffentlicht:
Attack works against a default install, don't need to be on the same LAN, and it's wormable. 🔥
— Tavis Ormandy (@taviso) May 6, 2017
Es ist unklar ob Google mit „default install“ auch tatsächlich ein Windows 10 mit aktuellen Patches oder eine ältere Version meint. Man muss sich jedenfalls nicht im gleichen Netzwerk befinden und die Lücke ist „wormable“, kann sich also verbreiten.
Microsoft steht nun unter Zugzwang und muss den Fehler innerhalb von 3 Monaten beseitigen oder potentiellen Schaden durch eine Veröffentlichung des Hacks hinnehmen.
Der fairness Halber muss man erwähnen, dass Project Zero nicht nur Lücken unter Windows aufdeckt. Da Windows aber das am häufigsten genutzte Desktopbetriebssystem ist, kommen die meisten Funde von dort.
Was sagt ihr zu Project Zero? Möchte Google Nutzern helfen oder handelt es sich um Schikane?
Googles Helden im Auftrag der Menschheit, haben laut eigenen Aussagen die schlimmste …
also ich hab sie nicht beauftragt.
Wenn man bei anderen vor der Haustür kehrt fällt der eigene Dreck nicht so auf… Die breite Masse vertraut doch auf Google, Google ist schließlich allwissend. Und wenn alle Google haben kann’s doch nicht verkehrt sein, oder? 🙂
Ging mir auch gerade durch den Kopf. Hier im Norden sagt man: „Ein jeder kehr‘ vor seiner Tür, da hat er Dreck genug dafür!“
Du solltest anfangen zu differenzieren….Android ist nur der LINUX-Kernel…und der stammt nicht von Google und obliegt auch leider nicht der Pflegezuständigkeit von Google, weil dort bekanntlich die meisten Hersteller/Anbieter mitunter recht übel herumpfuschen um ihr eigenes Süppchen zu kochen. Und für den Rest(UI,Launcher & Apps) verteilt Google mitunter etwas nervtötend viele Updates Google versucht aber schon seit langem dieses herumpfuschen der Hersteller im OS einzudämmen. (wird mit „Fuchsia“ das so ganz allmählich sichtbar wird (https://www.googlewatchblog.de/2017/05/fuchsia-erste-informationen-screenshots/) ….hoffentlich besser). d.h. Wenn MS eine Lücke in Android entdecken würde, müssten sie sich vermutlich zuletzt an Google, sondern eher an Samsung, HTC, LG, Huawei… Weiterlesen »
Und wieso darf dann Google etwas an die grosse Glocke hängen, obwohl die 3 Monate / 90 Tage noch nicht vorbei sind?
Sie haben MS darüber informiert. Die Öffentlichkeit erfährt erstmal nur, das eine Lücke besteht. Aber nicht wo, und nicht wie man sie ausnutzt. In Zukunft bitte Artikel lesen und vor allem verstehen!
Den Artikel habe ich schon gelesen und verstanden, aber Eissphinx schreibt: „Da bleibt mit Sicherheit keine bekannte Lücke länger als 3 Monate offen, damit MS sie
an die große Glocke hängen kann.“
und daraufhin schreibe ich halt: „Und wieso darf dann Google etwas an die grosse Glocke hängen, obwohl die 3 Monate / 90 Tage noch nicht vorbei sind?“
Auch mit solchen Informationen kann man bösen Hackern Infos geben. Google verhält sich unfair. Aber das ist ja nix neues.
Wann ist denn eig der nächste Patchday? Morgen, oder die kommende Woche?
Die Antwort ist doch ziemlich klar: Wenn es darum ginge den Nutzern zu helfen, dann könnte man ja das Problem kommunizieren, damit Microsoft die Lücke schliessen kann…
Tun Sie ja. MS hat danach 90 Tage Zeit, sonst wird public
Gut das muss man sagen, sie geben die Infos die sie haben an den Entwickler weiter. Aber egal ob 90 Tage reichen oder nicht, eine Verlängerung gibt es auf gar keinen Fall. Und wenn sie Bock drauf haben, veröffentlichen sie es auch einfach früher.
Artikel noch einmal lesen…und verstehen.
d.h.
MS wird über solche Lücken informiert….und erst wenn MS nach 3 Monaten nichts getan hat,
geht Googkle an die Öffentlichkeit.Das Problem wird also kommunziert…und MS macht trotzdem
nichts….auch nach mehreren Monaten nicht.
Wir haben leider auch schon gesehen das Google vor Ablauf der Frist an die Öffentlichkeit geht 2 Tage später kam dann der ms-Patch. Auch wenn man aus Redmond nicht gleich was hört kann es doch sein das dran gearbeitet wird.
„vor Ablauf der Zeit“
Hast du da ein konkretes Beispiel mit Nachweis?
Google sollte selber erst mal Software entwickeln die gut funktioniert und sicher ist, aber dazu sind anscheinend nicht in der lage und haben es daher eigentlich auch nicht verdient dass sie so viel vertrauen und Nutzer haben. Seitdem Google diese Strategie mit 90 Tagen immer öfter nutzt benutze ich eigentlich nichts mehr was mit Google zu tun hat weil ich so einen scheiß Kindergarten nicht unterstützen will. An Microsoft stellen würde ich dad ganze ignorieren und sich so lange zeit lassen bis sie eine gute Lösung gefunden haben. Da sie bei einer Klage gegen sie Google mit reinziehen können, da… Weiterlesen »
Wenn die mal so Medienwirksam auch bei eigenen Produkten rangehen würden. „Google Suche hat eine schwere Sicherheitslücke, die sämtliche Nutzerdaten weitersendet“. Achne das war ja gewollt …
Sie nennen es dann „Premium-Features“.
Da muss ich wirklich lachen wenn Google Sicherheitslücken der Konkurrenz anprangert.
Google – Windows sind nicht gerade die besten Freunde… Einerseits ist es gut, dass solche Lücken aufgedeckt andererseits ist ein Ultimatum nicht gerade die beste Lösung. Hoffen wir mal, dass Microsoft Ruhe bewahrt und es schnell fixt.
Leute Mal ehrlich, Ich bin mir bewusst ich bin auf einer Microsoft Fan Seite, aber das ist absolut lächerlich was ihr schreibt. Freut euch das diese Lücken auffliegen. Hoffentlich sucht Microsoft auch bei Google! Der Benutzer profitiert, egal welche Ambitionen die Firmen antreibt. Glaubt ihr hier in den Kommentaren wirklich daran was ihr schreibt, das böse Google das gute Microsoft? Dann glaubt ihr wohl auch an Chemtrails und Reichsbürger. Ich werde auch nicht mehr hier schreiben, ich musste einfach meinen Senf dazu geben, der Rest ist einfach nur gesülze von ahnungslosen Fanboy s die nicht akzeptieren dass Microsoft Konkurrenz hat,… Weiterlesen »
Na dann sollten die doch helfen wenn die so toll sind
Tun Sie. Sie zeigen MS ganz genau wie es funktioniert
Joa 😀 diese Abteilung gibt es letzten endes nur, um den Ruf anderer Unternehmen zu schädigen und Ihr eigenes System als besser wirken zu lassen ^^
Google verhält sich ja wieder päpstlicher als der Papst selbst…
Google der große Retter, lach…
Die sollen doch bitte die Füße still halten, google ist die Sicherheitslücke schlechthin…
Wäre ja okay, wenn Google während dieser drei Monate diesbezüglich Sillschweigen bewahrte…
So aber ist die Vermutung natürlich naheliegend, dass dabei in erster Linie der Konkurrent im Sinne Googles gezielt öffentlichkeitswirksam schlecht gemacht werden soll…
Genau so seh‘ ich das auch. Wieso wird immer auf allen Tech-Seiten darüber berichtet, wenn Project Zero mal wieder eine Sicherheitslücke in Windows entdeckt hat? Wenn alles im Stillschweigen weitergegeben würde, würde Google auch nicht seine Glaubwürdigkeit verlieren, wenn es das Ultimatum verlängert. Im Sinne der Nutzer ist es jedenfalls nicht eine ungepatchde Lücke offenzulegen.
Reine Schikane und kein fairer Wettbewerb. Microsoft sucht schließlich auch nicht nach Android-Sicherheitslücken und will sie releasen, denn grade dort wird ja nur wenig geupdatet von einigen Herstellern. Und wenn man schon von Fehlern und Lücken redet, sollte man schleunigst die eigenen Pixel-Phones in den Griff bekommen bevor man andere anprangert 😉
…Microsoft zeigt ja auch nicht die geringste erkennbare Absicht, Google in seinen Kernbereichen ernsthaft anzugreifen oder gar zu verdrängen… ist schon bloß mit dem Vorhaben des eigenen langfristigen Überlebens beschäftigt und damit scheinbar auch ziemlich ausgelastet… Google will aber sehr wohl jetzt bald mit aller Macht auch auf den (vorerst einmal privaten) Desktop vordringen und Microsoft – als (neben Apple) leider notwendigen Alibi-Konkurrenten – möglichst zurückdrängen und nur mit verbleibendem Office und Cloud eine restliche eingeschränkte Existenzberechtigung in der reinen Business-Nische (wie IBM, SAP oder Oracle…) zugestehen…! Um dieses Ziel zu erreichen, ist es aber unter anderem auch wichtig, an… Weiterlesen »
Erinnert mich ein bisschen wie eine Gesundheitsstudie die von nem Tabakgiganten finanziert wird.
Allerding ist es schon schön wenn sich Fachleute so engagieren die Welt sicherer zu machen. Und geben wir mal zu, große Firmen brauchen ab und an mal n bisschen Druck das richtige zu tun und es nicht auf zu schieben.
Alles in allem ist das Projekt für Google perfekt, anderen Zeigen wie schlecht sie sind, dem Kunden na nur helfen wollen und selbst gut da stehen.
Wieso MS nicht darauf gekommen ist?
Wer glaubt, dass Google helfen will, dem ist nicht zu helfen.
Die sollen mal Android prüfen und die Sicherheitslücken beseitigen.
Genau
Für mich sind sie Verbrecher und das aus 3 einfachen Gründen: 1. Sie greifen vor allem jene an, die in irgend einem Bereich Konkurrenz sind. Es gibt andere Dienste und Co., wo sie nicht nachschauen und da gibt es auch immer mal wieder Funde von anderen. 2. Schon mehr als einmal haben sie sich selber nicht an die 90-Tage Frist gehalten und trotz „Frist“ die Infos zur Lücke wesentlich früher veröffentlicht. 3. Ist die 90-Tage Frist viel zu starr. Manche Probleme lassen sich in der Zeit schlicht nicht beheben. Projekt Zero sollte hier flexibler sein, vor allem dann, wenn die… Weiterlesen »
„2. Schon mehr als einmal haben sie sich selber nicht an die 90-Tage Frist gehalten und trotz „Frist“ die Infos zur Lücke wesentlich früher veröffentlicht.“
Hast du dazu auch Nachweise?
Ich könnte mir gut vorstellen, dass da ohnehin z.B. Abgesandte der NSA oder ähnlicher Organisationen im Hintergrund der Macht schon in beiden Chefetagen vorstellig wurden, um da eine gemäßigteres öffentliches Konkurrenzverhalten der beiden großen und für die ökonomische und auch politische US-Vorherrschaft so wichtigen Unternehmen einzufordern und vor allem auch, um deren weltweites Ansehen nicht weiter beschädigen zu lassen und damit sogar die diesbezügliche technologische Führungsrolle der USA zu gefährden.
Sehe ich so wie die meisten hier. MS ist bei weitem nicht perfekt, aber dass solche Meldungen meist von Google kommen, fällt schon auf. Google selbst hat genügend Baustellen an die sie sich ranhalten sollten, aber wen interessierts. Das ganze beweist doch nur, dass MS auf dem richtigen Weg ist.
„Die Strafe der Führerschaft“
Fanboys unter sich.
Die Kommentare hier kann man wirklich (fast) alle in die Tonne kloppen…
Aha. Und dein Kommentar ist dagegen also Qualitativ hochwertig?
Im Vergleich zu den restlichen Beiträgen, ja.
…von AndroidUnited hierher verirrt?
Da war doch ein Artikel letztens………mal sehen…..https://m.heise.de/newsticker/meldung/Tracking-Forscher-finden-Ultraschall-Spyware-in-234-Android-Apps-3704642.html?wt_mc=rss.ho.beitrag.atom&wt_ref=https%3A%2F%2Fdpa-fwl.microsoft.com%2Fredirect.html%3FreferrerID%3D%26src%3Dmsn%26rurl%3Dhttps%253A%252F%252Fwww.heise.de%252Fnewsticker%252Fmeldung%252FTracking-Forscher-finden-Ultraschall-Spyware-in-234-Android-Apps-3704642.html%253Fwt_mc%253Drss.ho.beitrag.atom&wt_t=1494277338693
Wenn Google wirklich soooo böse und schlecht wäre wie hier viel schreiben warum stehen sie jetzt da wo die stehen. Ganz weit oben. Ist das der neid der da aus euch spricht… Wäre ich Google würde ich es genauso machen, wäre ich Microsoft würde ich jetzt schnell reagieren. Glaubt ihr wirklich dass bei Google keine Lücken gesucht werden??? Das ist keine Freundschaftsbörse, dass ist die Geschäftswelt. Wenn du nicht aufpasst tritt dir dein Mitstreiter eben in den Arsch.
So, mal von mir wieder ein etwas anderer Kommentar. 1. Ich finde es sehr gut, dass es das Project Zero gibt. Wie Ihr vielleicht alle in meinem letzten Artikel gelesen habt, ist es teilweise sehr schwer, Bugs zu finden. Und gerade diese Bugs sind wichtig und es ist wichtig, dass sie schnellstmöglich gefixt werden. 2. Das weiß auch MS. Und die wissen auch, wie die Öffentlichkeit auf solche Nachrichten reagiert. Es liegt in ihrem Interesse, die Bugs schnellstmöglich zu fixen. 3. Manche Bugs treten aber nur in ganz speziellen Konstellationen und extrem selten auf, das heißt, dass sie zwar ein… Weiterlesen »
„Allerdings denke ich nicht, dass MS schon jemals Mitbewerbern aktiv geschadet hat.“
Genau dafür wurden sie schon mehrfach verklagt und verurteilt: https://de.wikipedia.org/wiki/Microsoft#Wettbewerbsverletzungen
Google hat Macht … und nutzt / missbraucht sie.
Google missbraucht ständig irgendetwas. Das fängt an bei Nutzerdaten geht über das Ranking von Suchmaschinen Einträge bist hin zur sinnlosen Sperrung bezahlter AdWords Anzeigen oder ganzer Konten.
Das ganze heißt dann Monopol Missbrauch.
Die wenigsten der Google Nutzer (wollen) wissen wie Google ihre Daten missbraucht.
Die meisten Windows User wollen es ja auch nicht wissen, sonst würdet ihr euch mehr Gedanken darüber machen was MS mit euren Daten anstellt statt über Google nachzudenken das ihr doch alle nicht nutzt.
Ich sage nur immer wieder, Cortana, MS Band und andere MS Dienste funktionieren nur richtig mit all euren Daten, einfach mal drüber nachdenken. Vielleicht kommt dann dem einen oder anderen die Erleuchtung das alle diese Tech Konzerne unsere Daten brauchen und nutzen.
Wer glaubt das irgendeiner der großen Konzerne in der Beziehung besser ist als der andere ist schlicht und einfach hoffnungslos naiv.
Das stimmt wohl. Letzten Endes sind sie alle Kapitalunternehmen. Kapital aus Geld oder aus unseren Daten, etc. – wurscht. Der eine geht nur eben mehr, der andere weniger redlich damit um.
Also ich finde es gut, dass Lücken gesucht werden, egal von wem, aber die Lücken Public zu machen, das ist dann Schikane. Warum nicht privat MS darauf hinweisen, und das wars dann? MS zahlt ja auch Prämien für das finden von Lücken… Und ich schätze mal, dass wenn die ne Lücke bei Google finden, dann wird die auch nicht öffentlich gemacht sondern intern geregelt.
Sehe ich ähnlich. Auf dem Schauplatz der Geschäftswelt wird halt gern mit unfairem Mitteln gespielt, um vom eigenen Dreck abzulenken. Da steht Google ganz vorn.
Wer hier nun mit „Fanboy“- Gedöns antworten will, soll sich lieber selbst an der Nase fassen.
Wie man sieht scheint man bei Google auch gerne mit Windows zu arbeiten, das ist doch sehr lobenswert. 😂
Ne die nutzen Chrome OS da läuft windows in einer sandbox ach ne das war umgekehrt 🙂
So ist das wenn man über Windows sagt es ist das sicherste System und gleichzeitig immer mit dem Finger auf Google zeigt und sagt es ist das unsicherste System. Dann muss man sich nicht wundern wenn gefährliche Sicherheitslücken publik gemacht werden. Und im Sinne aller User ist es richtig so egal welches OS betroffen ist.
Und dann ? Meine Kollegen mit 90% Android nutzen ihre bug-Schleuder weiter die haben nichts anderes viele nutzen von morgens bis abends WhatsApp die sind doch bei bugs völlig hilflos kein wunder das firmen bei MS bleiben.
Wer Androiden pauschal als Bug-Schleuder bezeichnet hat schlicht keine Ahnung und ist nicht ernst zu nehmen.
Erfreu dich weiter an deinem bugfreien W10M.
Ach nee warte, W10M war doch das verbugte OS das man anfangs vor lauter Bugs kaum nutzen konnte. Das ist jetzt aber blöd. ;-).
Unsachlich. Auch android und apple waren anfangs unnutzbar.
Welche Bugs?
Ganz ehrlich, ich kenne aktuell keine, und ich kenne auch kein anderes System was so rund läuft. Vielleicht doch Mal über den Tellerrand schauen?
Diese leeren und falschen Phrasen die hier in den Kommentaren teilweise kommen sprechen eine eigene Sprache.
Ich habe lange an Wp und WM festgehalten, aber verarschen lasse ich mich nicht mehr.
Unzulänglichkeiten in Windows 10m. Telefon wird aus unerfindlichen Gründen sehr heiß. Akkudauer verkürzt sich auf lächerlich unbenutzbare Zeiten, diverse Apps von MS bieten nichtmal Grundfunktionen, systematisch werden bzw. wurden Features entfernt. Seit ich mein Moto G5 habe, bin ich all diese Sorgen los. Das 930 liegt seither im Schrank und wird nicht vermisst.
Wie ist dann die Veröffentlichung des Fehlers im Sinne des Nutzers? Ich geh doch auch nicht durch die Nachbarschaft und sage:“Ihr Haus ist aus diesen Gründen nicht einbruchssicher. Wenn Sie das in 90 Tagen nicht überarbeitet haben, verneige ich die Schwachstelle in der gesamten Stadt.“
Die Fehlersuche an sich finde ich gut, das eventuelle Veröffentlichen der Schwachstellen aber nicht.
Gehört zum Business. Ich finde es grundsätzlich gut, wenn ich über Sicherheitslücken informiert bin. Egal, welches System betroffen ist.
Diese Lücke wurde doch längst geschlossen. Wer die Versionsnummer 1.1.13704.0
in der Malware Protection vorfindet ist auf der sicheren Seite.
Wer weiß ob es ohne Zero vielleicht länger gedauert hätte.
Ohne Gewähr flals der Autor eine andere,neuere Lücke als die vom letzten WE meint!
N-tv hats bemerkt und einige Infos dazu veröffentlicht: Viren können via Mail empfangen werden Mail muss nicht mal geöffnet werden. Des weiteren kann man Viren auch via Internet und Messenger Diensten. Google hat sein Ziel erreicht – verunsicherung bei den Kunden Druck für Microsoft.
Tavis Ormandy hat Microsoft explizit in der Vergangenheit für seine Tools und Reaktionszeiten gelobt – so wie es auch andere Spezialisten taten. Im Gegenzug bedankte sich ebenfalls offen für die Arbeit von Project Zero. Dieses Gebashe findet nur in Foren statt, selten unter Spezialisten. Diese würden niemals mit dem Finger auf den anderen zeigen um von eigenen Problemen abzulenken. Fakt ist doch auch, dass weden MS, noch Apple, Google, Amazon, etc ein Interesse daran haben, dass die eines Tages von einem Herr aus Zombie-Rechnern angegriffen werden. Es ist weiterhin doch absolut absurd zu denken, dass Google keine internen Teams hat,… Weiterlesen »
Eine Anmerkung sei vielleicht noch zu diesem Artikel selbst gemacht: Die Überschrift ist falsch. Diese Aussage wurde von einer Privatperson getroffen. Im offiziellen Bug Report wird nur sachlich auf die Fehler hingewiesen, wie man leicht einsehen kann. Zwar war dieser zum Zeitpunkt der Erstellung dieses Artikels noch nicht öffentlich, allerdings ist der Twitter Account eindeutig als privat gekennzeichnet. Was das Ganze noch schlimmer macht. Wenn hier also jemand Angst vor einer Klage wegen Rufschädigung haben muss, so ist es leider der Autor selber. Ich habe keine Ahnung, ob eine Abmahnung seitens Google diese Seite in die Knie zwingen würde, gehe… Weiterlesen »
Details sind bereits bekannt [Link zu anderer Seite ersetzt durch:] https://windowsunited.de/2017/05/09/microsoft-fixt-schlimmste-sicherheitsluecke-in-windows-defender/
— Habt ihr ja auch in eurem anderen Artikel geschrieben
Vielleicht sollte Google erst darum kümmern:
Deutsche Forscher finden heraus, dass über 200 Android-Apps in Googles Play Store Fernsehzuschauer mittels Ultraschall ausspionieren können.
Quelle: N-tv
Da bin ich ja froh, keinen Fernseher zu haben. Die tägliche Dosis Chemtrails reicht mir.