1. #1
    Projektleitung
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    4.101
    Thanked 8.522 Times in 2.550 Posts
    Blog Entries
    5

    Standard Google veröffentlicht ungepatchte Windows-Lücke

    Google hat mit Project Zero bereits vergangenes Jahr eine Plattform angekündigt, die Software-Schwachstellen veröffentlicht. Jedoch nicht auf Google-Eigene Software beschränkt. So kam es, dass am 29. Dezember 2014 Details zu einer bislang ungepatchten Windows 8 Lücke veröffentlicht wurden. Damit können Anwendungen offenbar Administrator-Rechte erlangen, in dem sie die Sicherheitsabfrage der Benutzerkontensteuerung (UAC) in den Standardeinstellungen aushebeln.

    Dabei wurde die betroffene Lücke bereits Ende September 2014 gemeldet: Google räumt dem Hersteller nach Bekanntwerden der Lücke 90 Tage Zeit ein, um diese zu beheben. Bis zur Verstreichung der Frist sind die gemeldeten Fehler privat, danach werden sie öffentlich einsehbar - wie bei dieser Windows 8 Lücke Ende Dezember 2014 geschehen. Für dieses Vorgehen muss der Software-Riese Kritik einstecken: Manche sind der Meinung, dass Google zu leichtfertig mit den Lücken umgehen würde und es unangebracht sei, Details zu veröffentlichen.


    Finde ich gut. Sony, Apple und andere haben bereits oft genug bewiesen, dass sie mit kritischen Sicherheitslücken die gemeldet werden äußerst fahrlässig umgehen.
    Durch die Veröffentlichung von Schwachstellen wird Druck auf die Hersteller ausgeübt, diese schnell zu beheben. Und was ich fast noch wichtiger finde: Die Nutzer der betroffenen Software wiegen sich nicht in falscher Sicherheit und können ggf. eine Kompromittierung ihrer Systeme verhindern - Sei es durch Workarounds oder zur Not die Deaktivierung von betroffenen Funktionen. 3 Monate sind mehr als genug Zeit. Für einen Software-Riese wie Microsoft bei dem es ohnehin jeden Monat einen Patchday für seine Systeme gibt sowieso.

    Wie denkt ihr über die Veröffentlichung von (kritischen) Sicherheitslücken sowie der Zeitspanne von 3 Monaten, welche Google die Details zurückhält?


  2. The Following 3 Users Say Thank You to DMW007 For This Useful Post:

    CDLF (04.01.2015), milchbubix (07.01.2015), Sky.NET (25.01.2015)

  3. #2
    U-Labs Routinier
    Avatar von CDLF
    Registriert seit
    28.03.2013
    Beiträge
    383
    Thanked 197 Times in 133 Posts

    Standard AW: Google veröffentlicht ungepatchte Windows-Lücke

    Zu leichtfertig geht Google sicher nicht mit den Lücken um. Auch wenn das ganze die Script-Kiddies fördert, nach 90 Tagen sollte man doch in der Lage sein, eine Sicherheitslücke zu schließen.
    Die meisten Hersteller nehmen sich - was Patches angeht - sowieso sehr viele Freiheiten raus.

    So werden unter anderem auch Updates angekündigt und ein paar 1000 verkaufte Produkte später verschwindet der Hinweis plötzlich - wie wenn er nie da gewesen wäre.

    Ich will ja nicht sagen, dass man unbedingt immer die neueste Version braucht, aber bei Android doktern Milliarden von Smartphones mit diversen Sicherheitslücken alter Versionen herum.

    Jetzt noch ein konkretes Beispiel:
    Man meldet dem Support der Software XYZ, dass "Anhalten" für einen Stopp/Abbruch-Button eine recht miese Übersetzung sei, weil doch der eine oder andere einen Pause-Button erwarten würde, und diese auch gar nicht da ist (könnte man ja auch noch zusätzlich einbauen) - dazu auch mehrere Meldungen im Forum
    3 Updates später: diverse Bugfixes, weiterhin nur 1 "Anhalten"-Button

Ähnliche Themen

  1. Bilder von Windows 8 Nachfolger Blue veröffentlicht
    Von Devon im Forum IT & Technik News
    Antworten: 4
    Letzter Beitrag: 25.03.2013, 19:56
  2. Knuddels.de XSS-Lücke
    Von Eliteterror im Forum Knuddels Allgemein
    Antworten: 2
    Letzter Beitrag: 17.03.2012, 17:14
  3. SQLI - Lücke
    Von Scanner im Forum Andere
    Antworten: 3
    Letzter Beitrag: 02.12.2011, 18:24
  4. Riesen-Knuddels-Lücke?
    Von xynoZ im Forum Fragen & Probleme
    Antworten: 21
    Letzter Beitrag: 30.05.2011, 19:00
Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191