Windows 8.1: Google legt Sicherheitslücke offen, Microsoft verärgert

Google hat heute eine Sicherheitslücke in Windows 8.1 öffentlich gemacht, da die Geheimhaltungsfrist von 90 Tagen abgelaufen ist. Microsoft ist über dieses Vorgehen verärgert, da das Unternehmen Google mitgeteilt hatte, dass morgen im Rahmen des Patchdays ein Update veröffentlicht wird.

Im Rahmen des Project Zero sucht Google seit einigen Monaten auch nach Sicherheitslücken in Software von anderen Unternehmen. Gefundene Lücken werden dabei 90 Tage geheim gehalten, um den Unternehmen Zeit zu geben, sie zu schließen. Auch bei der nun veröffentlichten Sicherheitslücke in Windows 8.1 hat Google Microsoft 90 Tage Zeit gegeben. Microsoft hat Google allerdings darauf hingewiesen, dass im Rahmen des Januar-Patchdays ein Update bereitgestellt werden wird, das die Lücke schließt, und Google deshalb gebeten, die Lücke erst zwei Tage später mit Verfügbarkeit des Updates offenzulegen. Google lehnte dies mit dem Hinweis, dass die Frist für alle Produkte und Unternehmen gleichermaßen gelte, ab. Microsoft ist ob dieser Offenlegung, die die Sicherheit der Kunden gefährdet, verärgert.

Chris Betz, Senior Director des Microsoft Security Response Center, äußert sich in einem Blogeintrag zu diesem Vorgehen, das aus seiner Sicht unverständlich und nicht im Sinne der Nutzer sei, auch wenn Google sich an die eigenen Vorgaben gehalten habe. Was für Google richtig sei, sei nicht immer richtig für die Kunden. Chris Betz ruft Google dazu auf, den Schutz der Kunden zum gemeinsamen primären Ziel zu erklären. Microsoft glaube daran, dass eine koordinierte Offenlegung von Sicherheitslücken der richtige Weg sei und das Risiko für Kunden minimiere. Google hingegen möchte Kunden durch eine vollständige Offenlegung ermöglichen, selbst Maßnahmen zu ergreifen und Druck auf den Anbieter auszuüben. Da die meisten Kunden nichts unternehmen würden und somit angreifbar sind, sieht Microsoft hierin jedoch einen falschen Ansatz. Darüber hinaus würde Betz es nicht für richtig halten, seine Experten nach Sicherheitslücken in Produkten anderer Unternehmen suchen zu lassen, Druck auf diese auszuüben, die Lücke innerhalb einer vorgegebenen Frist zu schließen, und diese dann vor der Bereitstellung eines Updates zu veröffentlichen, obwohl ihr Ausnutzen weiterhin Schaden verursachen könnte. Richtlinien, die keine koordinierte Zusammenarbeit vorsehen, würden allen Beteiligten schaden, so Betz.

Die Bereitstellung eines Updates für die nun veröffentlichte Sicherheitslücke habe aufgrund von umfangreichen Prüfungen der Auswirkungen länger als 90 Tage in Anspruch genommen. Die Lücke bezieht sich auf den Benutzerprofildienst (User Profile Service) in Windows 8.1 32- und 64-Bit und ermöglicht es Angreifern, ihre Benutzerrechte eigenmächtig zu erhöhen. Ob weitere Windows-Betriebssysteme betroffen sind, ist bislang nicht bekannt.

Bereits am 29. Dezember 2014 hatte Google eine Sicherheitslücke in Windows 8.1 offengelegt, bevor sie von Microsoft geschlossen wurde. Dies sorgte auch unter Nutzern für eine Diskussion über die Verantwortungslosigkeit von Google, eine derartige Lücke zu veröffentlichen. Google hatte daraufhin eine Änderung der Richtlinien grundsätzlich nicht ausgeschlossen, sich jedoch gleichzeitig gegen individuelle Absprachen zur Offenlegung verteidigt und eine feste Frist von 90 Tagen als „optimalen Ansatz für die Sicherheit von Nutzern“ bezeichnet.