Microsoft »rächt« sich an Google - Bekanntgabe von Sicherheitslücken

Microsoft war in den letzten Monaten mehrmals über die Bekanntgabe von Sicherheitslücken durch Google verärgert und hat nun den Spieß umgedreht.

von Georg Wieselsberger,
20.10.2017 13:32 Uhr

Microsoft hat sich an Google »gerächt« und auf Probleme bei Sicherheitslücken hingewiesen.Microsoft hat sich an Google »gerächt« und auf Probleme bei Sicherheitslücken hingewiesen.

Google sucht mit seinem Project Zero nach Sicherheitslücken und das unter anderem auch in Software und Betriebssystemen von Microsoft. Die gefundenen Probleme werden zwar an Microsoft weitergegeben, aber gleichzeitig beginnt eine Frist, innerhalb derer die Google-Sicherheitsexperten einen Patch erwarten.

Läuft diese Frist ab, wird die Sicherheitslücke bekanntgegeben. Dieses recht unflexible Verhalten wurde von Microsoft mehrmals harsch kritisiert, da in manchen Fällen der Patch bereits getestet wurde und Google darüber auch informiert war.

Microsoft sucht nach Chrome-Lücken

Google sieht sich aber in der Pflicht, Nutzer nach einer Frist über mögliche Gefahren zu informieren, während Microsoft befürchtet, dass durch die Bekanntgabe ohne verfügbaren Patch die Nutzer erst recht gefährdet werden. Nun hat sich Microsoft laut Paul Thurrott an Google »gerächt« und das auf eine seiner Ansicht nach »scheinheilige« Weise.

Microsoft habe speziell im Browser Google Chrome nach Sicherheitslücken gesucht, einige gefunden und Google informiert - nur um die Lücken dann ebenfalls bekanntzugeben und darüber zu informieren, wie lange Google für die Behebung benötigt hat.

Source-Code für Bugfix vor Patch veröffentlicht

Microsoft weist darauf hin, dass Google zwar sehr schnell reagiert habe und in nur vier Tagen einen Bugfix erstellt hat. Doch der Sourcecode für diesen Bugfix sei bei Github veröffentlicht worden und das fast einen Monat, bevor der Fehler in der stabilen Version von Google Chrome für Nutzer behoben wurde.

Eine solche Veröffentlichung bei Github könnte Rückschlüsse auf die Sicherheitslücken zulassen und dann Nutzer gefährden, so Microsoft in einem Blogbeitrag. Ein Monat sei viel Zeit für einen Angreifer, den Bugfix-Code zu analysieren.

Daher steht Microsoft weiter auf dem Standpunkt, dass es wichtig ist, erst Sicherheitslücken beim Kunden zu beheben und erst dann genaue Informationen dazu zu veröffentlichen.

» Fall Creators Update für Win 10 – Die Neuerungen für Spieler


Kommentare(39)

Nur angemeldete Benutzer können kommentieren und bewerten.

Cookies optimieren die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen oder schließen