Windows 8.1 - Google veröffentlicht Details zu ungepatchter Sicherheitslücke

Microsoft hat eine gemeldete Sicherheitslücke in Windows 8.1 90 Tage lang nicht behoben.

Ein Sicherheitsexperte von Google hatte schon im September 2014 eine Sicherheitslücke in Windows 8.1 entdeckt und diese auch am 30. September an Microsoft gemeldet. Der entsprechende Eintrag in der Datenbank bei Google wurde nun 90 Tage nach der Meldung an Microsoft auch öffentlich einsehbar, da es bis heute keinen Patch für die Sicherheitslücke gibt. In dem Eintrag wird nicht nur beschrieben, wo die Sicherheitslücke auftritt, sondern auch, wie sie ausgenutzt werden kann. Ein Angreifer könnte so durch einen Fehler bei der Administrator-Prüfung des Betriebssystems höhere Rechte erlangen.

Warum Microsoft diese Lücke bislang nicht geschlossen hat, ist nicht klar. Allerdings hat Microsoft inzwischen gegenüber ZDNet eine Stellungnahme veröffentlicht, laut der ein Update bereits geplant sei, die Gefahr durch die Sicherheitslücke aber wohl nicht besonders groß ist. Demnach müsste ein Angreifer zur Ausnutzung der Lücke bereits Zugriff auf ein vorhandenes Nutzerkonto auf dem System haben und sich lokal damit einloggen. Vermutlich hatte das Schließen dieser Lücke deswegen keine besonders hohe Priorität. Microsoft rät außerdem dazu, eine Antiviren-Software zu verwenden, diese ebenso wie das Betriebssystem selbst immer auf dem neuesten Stand zu halten und die Firewall von Windows zu verwenden.

Google selbst hat zu der Veröffentlichung der Details erklärt, dass Microsoft über die Frist informiert gewesen sei. Die 90 Tage seien eine faire und vernünftige Frist, die Softwareherstellern Zeit gäbe, die Lücke zu schließen, aber auch, um danach Nutzer über mögliche Gefahren zu informieren. Nur dann könnten diese nicht nur selbst Maßnahmen ergreifen, sondern auch von Softwareherstellern entsprechende Reaktionen einfordern.