Die IT-Riesen Microsoft und Google pflegen in Sicherheitsfragen beizeiten ein gespanntes Verhältnis. In jüngerer Vergangenheit ist Googles "Project Zero" den Redmondern unter anderem durch die Bekanntgabe von Windows-Lücken auf die Zehen gestiegen, bei deren Behebung man sich nach Ansicht der Entdecker zu lange Zeit gelassen hat.

Diese Beziehung dürfte auch in Zukunft nicht einfacher werden, erhebt Google-Sicherheitsforscher Mateusz Jurczyk doch in einem Blogeintrag einen schwerwiegenden Vorwurf an Microsoft. Dort soll man nämlich die Sicherheit älterer Windows-Versionen zugunsten von Windows 10 vernachlässigen – was für Nutzer mit einem nicht unerheblichen Risiko verbunden ist.

Enge Verwandtschaft, ähnliche Risiken

Windows 10 und dessen zwei Vorgänger, 8 und 7, teilen sich einen guten Teil an Quellcode und ihrer technischen Basis. Dies ist mitunter auch notwendig, um Abwärtskompatibilität sicherzustellen, die Nutzern und Softwareentwicklern den Umstieg auf neue Versionen erleichtert. So ist sichergestellt, dass die meisten Programme, die noch für Windows 7 und 8 geschrieben wurden, auch unter Windows 10 funktionieren.

Die enge Verwandtschaft führt aber auch dazu, dass neu entdeckte Sicherheitslücken oft auch alle drei Windows-Ausgaben betreffen. Und hier, so Jurczyk, sei Microsoft schlampig. Oft werden diese Lecks am monatlichen Patchday zuerst nur unter Windows 10 behoben, während die entsprechenden Aktualisierungen für die Vorgänger erst später geliefert werden. Dabei soll es nicht nur um komplexe Bugs gehen, sondern auch um Lücken, die sich recht einfach beheben lassen sollen.

Lecks per "Binary Diffing" auffindbar

Verschlimmert wird dieser Umstand dadurch, dass sich durch den Binärcodeabgleich zwischen den monatliche Updates herausfinden lässt, wie die auf einem System behobene und auf den anderen System vorerst offen gelassene Lücke beschaffen ist. Während die offizielle Beschreibung der Lecks und Patches keine konkreten Angaben liefert, können Cyberkriminelle durch diesen Abgleich, "Binary Diffing" genannt, eben an diese "tief hängenden Früchte" gelangen.

Der Sicherheitsexperte hat nach eigenen Angaben auf diese Weise mehrere akute Lecks entdeckt. Darunter eines, über welches sich Sicherheitsschranken des System-Kernels umgehen lassen. Ein Angreifer könnte sich darüber komplette Kontrolle über das System verschaffen. Er hofft, dass es nur "sehr wenige Fälle" solcher Schwachstellen gibt, die unter Windows 7 und 8 über Wochen oder Monate ungepatcht bleiben.

"Falsches Sicherheitsgefühl"

Microsoft betont stets seinen Fokus auf Sicherheit. Dies wiege die User älterer Systeme "in einem falschen Sicherheitsgefühl", so Jurczyk weiter.

Project Zero versucht, Softwarehersteller generell dazu zu bewegen, mehr zur Absicherung ihrer Produkte zu tun. Neu gefundene Lecks werden ihnen gemeldet, sie erhalten eine 90-tägige Frist, um sie zu beheben, ehe man damit an die Öffentlichkeit geht. Für besonders kritische Schwachstellen können auch kürzere Fristen gesetzt werden.

Windows 7-Marktanteil weiter hoch

Gegenüber The Register fällt Microsofts Stellungnahme zum Sachverhalt vage aus. "Microsoft hat sich gegenüber seinen Kunden verpflichtet, gemeldete Sicherheitslücken (…) so schnell wie möglich zu beheben. Zusätzlich investieren wir beständig in erweiterte Sicherheitsmaßnahmen und empfehlen, für den besten Schutz, Windows 10 und den Microsoft-Edge-Browser zu verwenden."

Dass das Unternehmen einen möglichst breiten Nutzerstock für Windows 10 anstrebt und das System über bessere Schutzmechanismen verfügt, als seine Vorgänger, ist nicht neu. Allerdings halten die Vorläufer der aktuellen Plattform immer noch einen signifikanten Marktanteil. Unter den Desktop-Betriebssystemen kommt etwa Windows 7 laut Netmarketshare derzeit auf über 47 Prozent. Berücksichtigt man ausschließlich Windows, so läuft die Software aus 2009 sogar auf jedem zweiten Desktopcomputer.

Laut Microsofts Plan für die Lebensdauer der eigenen Software soll Windows 7 noch bis zum 14. Jänner 2020 mit Sicherheitsupdates versorgt werden. Für Windows 8.1 läuft die Frist am 10. Jänner 2023 aus. (gpi, 10.10.2017)