1. #1
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    6.081
    Thanked 9.119 Times in 2.996 Posts
    Blog Entries
    5

    Standard Google veröffentlicht ungepatchte Windows-Lücke

    Google hat mit Project Zero bereits vergangenes Jahr eine Plattform angekündigt, die Software-Schwachstellen veröffentlicht. Jedoch nicht auf Google-Eigene Software beschränkt. So kam es, dass am 29. Dezember 2014 Details zu einer bislang ungepatchten Windows 8 Lücke veröffentlicht wurden. Damit können Anwendungen offenbar Administrator-Rechte erlangen, in dem sie die Sicherheitsabfrage der Benutzerkontensteuerung (UAC) in den Standardeinstellungen aushebeln.

    Dabei wurde die betroffene Lücke bereits Ende September 2014 gemeldet: Google räumt dem Hersteller nach Bekanntwerden der Lücke 90 Tage Zeit ein, um diese zu beheben. Bis zur Verstreichung der Frist sind die gemeldeten Fehler privat, danach werden sie öffentlich einsehbar - wie bei dieser Windows 8 Lücke Ende Dezember 2014 geschehen. Für dieses Vorgehen muss der Software-Riese Kritik einstecken: Manche sind der Meinung, dass Google zu leichtfertig mit den Lücken umgehen würde und es unangebracht sei, Details zu veröffentlichen.


    Finde ich gut. Sony, Apple und andere haben bereits oft genug bewiesen, dass sie mit kritischen Sicherheitslücken die gemeldet werden äußerst fahrlässig umgehen.
    Durch die Veröffentlichung von Schwachstellen wird Druck auf die Hersteller ausgeübt, diese schnell zu beheben. Und was ich fast noch wichtiger finde: Die Nutzer der betroffenen Software wiegen sich nicht in falscher Sicherheit und können ggf. eine Kompromittierung ihrer Systeme verhindern - Sei es durch Workarounds oder zur Not die Deaktivierung von betroffenen Funktionen. 3 Monate sind mehr als genug Zeit. Für einen Software-Riese wie Microsoft bei dem es ohnehin jeden Monat einen Patchday für seine Systeme gibt sowieso.

    Wie denkt ihr über die Veröffentlichung von (kritischen) Sicherheitslücken sowie der Zeitspanne von 3 Monaten, welche Google die Details zurückhält?


  2. The Following 3 Users Say Thank You to DMW007 For This Useful Post:

    CDLF (04.01.2015), milchbubix (07.01.2015), Sky.NET (25.01.2015)

  3. #2
    Avatar von CDLF
    Registriert seit
    28.03.2013
    Beiträge
    384
    Thanked 198 Times in 133 Posts

    Standard AW: Google veröffentlicht ungepatchte Windows-Lücke

    Zu leichtfertig geht Google sicher nicht mit den Lücken um. Auch wenn das ganze die Script-Kiddies fördert, nach 90 Tagen sollte man doch in der Lage sein, eine Sicherheitslücke zu schließen.
    Die meisten Hersteller nehmen sich - was Patches angeht - sowieso sehr viele Freiheiten raus.

    So werden unter anderem auch Updates angekündigt und ein paar 1000 verkaufte Produkte später verschwindet der Hinweis plötzlich - wie wenn er nie da gewesen wäre.

    Ich will ja nicht sagen, dass man unbedingt immer die neueste Version braucht, aber bei Android doktern Milliarden von Smartphones mit diversen Sicherheitslücken alter Versionen herum.

    Jetzt noch ein konkretes Beispiel:
    Man meldet dem Support der Software XYZ, dass "Anhalten" für einen Stopp/Abbruch-Button eine recht miese Übersetzung sei, weil doch der eine oder andere einen Pause-Button erwarten würde, und diese auch gar nicht da ist (könnte man ja auch noch zusätzlich einbauen) - dazu auch mehrere Meldungen im Forum
    3 Updates später: diverse Bugfixes, weiterhin nur 1 "Anhalten"-Button

Ähnliche Themen

  1. Bilder von Windows 8 Nachfolger Blue veröffentlicht
    Von Devon im Forum IT & Technik News
    Antworten: 4
    Letzter Beitrag: 25.03.2013, 19:56
  2. Knuddels.de XSS-Lücke
    Von Eliteterror im Forum Knuddels Allgemein
    Antworten: 2
    Letzter Beitrag: 17.03.2012, 17:14
  3. SQLI - Lücke
    Von Scanner im Forum Andere
    Antworten: 3
    Letzter Beitrag: 02.12.2011, 18:24
  4. Riesen-Knuddels-Lücke?
    Von xynoZ im Forum Fragen & Probleme
    Antworten: 21
    Letzter Beitrag: 30.05.2011, 19:00
Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.