Neue Fehler in alter Schwachstelle

Google veröffentlicht Windows-Sicherheitslücke

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Google hat Details zu einer ungepatchten Sicherheitslücke in Windows veröffentlicht.
Google hat Details zu einer ungepatchten Sicherheitslücke in Windows veröffentlicht. (Bild: pixabay / CC0)

Zufall oder nicht? Google hat eine ungepatchte Sicherheitslücke in Windows veröffentlicht, am gleichen Tag als der zurückgezogene Patch Day veröffentlicht werden sollte. Diese ist zwar nur als „Hoch“ eingestuft, erlaubt also keinen Zugriff auf die Systeme, aber ermöglicht dennoch Zugriff auf potenziell sensible Daten.

Google hat erneut Details zu einer Sicherheitslücke in Windows veröffentlicht, bevor Microsoft ein Update für diese bereitstellen konnte. Nachdem der Februar-Patch Day verschoben wurde, gingen im Forum des Google Project Zero Teams am gleichen Tag die Informationen zu einem Fehler in der Grafikkomponente von Windows.

Die Sicherheitslücke scheint auf einem Fehler vom März 2016 aufzubauen – diese wurde im Juni 2016 im Rahmen des Updates MS16-074 behoben. Allerdings wurde die Schwachstelle scheinbar nicht komplett geschlossen und ist nun erneut aufgetaucht.

Last-Minute-Bug stoppt Microsoft Updates

Update: Kein Patch Day im Februar 2017

Last-Minute-Bug stoppt Microsoft Updates

15.02.17 - Eigentlich sollten die Updates für die verschiedenen Microsoft-Produkte bereits zum Download bereitstehen. Scheinbar sorgt aber ein kritischer Fehler dafür, dass der Konzern seine Pläne ändern musste – der Februar Patch Day wird verschoben. lesen

Die einzig gute Nachricht: Die ursprüngliche Sicherheitslücke wurde als „Hoch“ eingestuft. Ein Systemzugriff ist nicht möglich, allerdings können Angreifer darüber auf potentiell sensible Daten zugreifen. Nachdem der Patch Day auf März verschoben wurde, ist nicht klar, wann und ob die Lücke geschlossen wird.

Lücken melden oder nicht?

Das Melden von noch nicht gepatchen Sicherheitslücken ist ein zweischneidiges Schwert. Grundsätzlich muss es etwas Druck auf Hersteller geben, damit diese sich tatsächlich um gemeldete Sicherheitslücken kümmern. Aber wie schnell dürfen die Informationen an die Öffentlichkeit gelangen? Gerade bei weit verbreiteten Systemen wie Windows gefährden sie potentiell Millionen von Nutzer, vor allem kritische oder hochkritische Bugs können hier ganze Angriffswellen auslösen.

Grundsätzlich ist das Google-System fair: Die gemeldeten Bugs werden 90 Tage lang unter Verschluss gehalten und anschließend veröffentlicht. Drei Monate sollte normalerweise Zeit genug sein, um die Schwachstellen zu beheben.

Wie sehen Sie die Veröffentlichung von ungepatchten Sicherheitslücken? Sind 90 Tage genug Zeit für die Hersteller?

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44534423 / Sicherheitslücken)