Microsoft verärgert, weil Google Sicherheitslücken aufdeckt

12.01.2015

Es gibt Zweifel an den lauteren Absichten Googles, weil eine Windows-Sicherheitslücke öffentlich gemacht wurde, zwei Tage bevor Microsoft sie patchen wollte.

Chris Betz, Senior Director des Microsoft Security Response Center, kritisiert in einem Blog-Beitrag das Project Zero von Google, weil es eine neue Sicherheitslücke öffentlich gemacht hat, die Microsoft am kommenden Patch-Day schließen wollte. Microsoft habe sogar Google gebeten, die Veröffentlichung noch zwei Tage hinauszuschieben, um Kunden keinen unnötigen Risiken auszusetzen.

Das Project Zero hat aber an seiner Policy festgehalten, genau 90 Tage nach der Benachrichtung eines Software-Herstellers eine Lücke öffentlich zu machen. Dieser Prozess ist im Tracking-System des Projekts automatisiert. Bereits zum Ende des Jahres 2014 hatte es in dieser Hinsicht Ärger gegeben, weil Google Security-Projekte eine weitere Sicherheitslücke in Windows veröffentlichte, um die sich Microsoft offensichtlich 90 Tage lang nicht gekümmert hatte.

Betz fordert Google auf, sich an die Leitlinien der Coordinated Vulnerability Disclosure zu halten, die vorsieht, Lücken erst dann zu veröffentlichen, wenn der Hersteller die Gelegenheit hatte, sie zu schließen. Demgegenüber steht die Google-Philosophie, mit einer festen Frist mehr Druck auf die Hersteller auszuüben, weil erfahrungsgemäß sonst viele Security-Bugs lange Zeit nicht oder nie gefixt werden.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Google deckt Sicherheitslücke im Windows-Kernel auf

Das für Sicherheitslücken zuständige "Project Zero" hat eine Sicherheitslücke in Windows veröffentlicht. Microsoft ist nicht erfreut. 

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023