Suchen

Neue Fehler in alter Schwachstelle Google veröffentlicht Windows-Sicherheitslücke

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Zufall oder nicht? Google hat eine ungepatchte Sicherheitslücke in Windows veröffentlicht, am gleichen Tag als der zurückgezogene Patch Day veröffentlicht werden sollte. Diese ist zwar nur als „Hoch“ eingestuft, erlaubt also keinen Zugriff auf die Systeme, aber ermöglicht dennoch Zugriff auf potenziell sensible Daten.

Firmen zum Thema

Google hat Details zu einer ungepatchten Sicherheitslücke in Windows veröffentlicht.
Google hat Details zu einer ungepatchten Sicherheitslücke in Windows veröffentlicht.
(Bild: pixabay / CC0 )

Google hat erneut Details zu einer Sicherheitslücke in Windows veröffentlicht, bevor Microsoft ein Update für diese bereitstellen konnte. Nachdem der Februar-Patch Day verschoben wurde, gingen im Forum des Google Project Zero Teams am gleichen Tag die Informationen zu einem Fehler in der Grafikkomponente von Windows.

Die Sicherheitslücke scheint auf einem Fehler vom März 2016 aufzubauen – diese wurde im Juni 2016 im Rahmen des Updates MS16-074 behoben. Allerdings wurde die Schwachstelle scheinbar nicht komplett geschlossen und ist nun erneut aufgetaucht.

Die einzig gute Nachricht: Die ursprüngliche Sicherheitslücke wurde als „Hoch“ eingestuft. Ein Systemzugriff ist nicht möglich, allerdings können Angreifer darüber auf potentiell sensible Daten zugreifen. Nachdem der Patch Day auf März verschoben wurde, ist nicht klar, wann und ob die Lücke geschlossen wird.

Lücken melden oder nicht?

Das Melden von noch nicht gepatchen Sicherheitslücken ist ein zweischneidiges Schwert. Grundsätzlich muss es etwas Druck auf Hersteller geben, damit diese sich tatsächlich um gemeldete Sicherheitslücken kümmern. Aber wie schnell dürfen die Informationen an die Öffentlichkeit gelangen? Gerade bei weit verbreiteten Systemen wie Windows gefährden sie potentiell Millionen von Nutzer, vor allem kritische oder hochkritische Bugs können hier ganze Angriffswellen auslösen.

Grundsätzlich ist das Google-System fair: Die gemeldeten Bugs werden 90 Tage lang unter Verschluss gehalten und anschließend veröffentlicht. Drei Monate sollte normalerweise Zeit genug sein, um die Schwachstellen zu beheben.

Wie sehen Sie die Veröffentlichung von ungepatchten Sicherheitslücken? Sind 90 Tage genug Zeit für die Hersteller?

(ID:44534423)

Über den Autor

 Moritz Jäger

Moritz Jäger

IT Journalist