Das für Sicherheitslücken zuständige "Project Zero" hat eine Sicherheitslücke in Windows veröffentlicht. Microsoft ist nicht erfreut.
Googles Project Zero hat eine neue Sicherheitslücke im Windows Kernel aufgedeckt, "um Anwender zu schützen." Es handelt sich um eine Sicherheitslücke, die es lokalen Usern erlaubt, privilegierte Rechte zu erlangen. Dies ist über einen Bug in der Library "win32k.sys" möglich. In der Chrome Sandbox blockiert Google die entsprechenden Systemaufrufe.
Google hatte über einen Bug, der unter dem Kürzel CVE-2016-7855 firmiert, schon am 26. Oktober berichtet. Das dabei betroffene Flash-Plugin hat Adobe seither schon gepatcht. Nun erfolgte die komplette Offenlegung der Sicherheitslücken gemäß Googles Policy. Laut Microsoft lässt sich die Sicherheitslücke nur über Flash ausnutzen.
Es gibt Zweifel an den lauteren Absichten Googles, weil eine Windows-Sicherheitslücke öffentlich gemacht wurde, zwei Tage bevor Microsoft sie patchen wollte.