Die Art, wie Googles Project Zero mit der Veröffentlichung aufgespürter Sicherheitslücken umgeht, hat den Sicherheitsforschern in den letzten Jahren immer wieder Kritik eingebracht. Entsprechend macht man mittlerweile in einzelnen Fällen Ausnahmen von der straffen 90-Tage-Regel oder gewährt den betroffenen Softwareherstellern zumindest eine etwas längere Frist. Dass auch das nicht immer hilft, zeigt nun ein aktueller Vorfall.

Fehlerhafter Schutz

Das Project Zero hat eine Sicherheitslücke in Microsofts Browser Edge offengelegt – und zwar eine, die es durchaus in sich hat, lässt sich darüber doch der im Edge genutzte Exploit-Schutz komplett aushebeln. Dieser soll eigentlich dafür sorgen, dass nur offiziell signierter Code ausgeführt werden kann. Den Sicherheitsforschern ist es nun aber gelungen, über den Just-in-time-Compiler genau diese Einschränkung auszuhebeln.

Das Pikante daran: Microsoft hat bisher keinen Fix parat, die Lücke steht also weiterhin offen und macht damit Angriffe gegen Edge erheblich leichter. Die Frage, wer an dieser für die Nutzer äußerst unerfreulichen Situation die Schuld trägt, ist dabei wie gewohnt eine des eigenen Blickpunkts. Klar ist jedenfalls, dass das Project Zero Microsoft eine Fristverlängerung von 15 Tagen gewährt hat, damit ein etwaiges Update im üblichen Rhythmus der Edge-Veröffentlichungen erfolgen kann. Microsoft argumentiert hingegen, dass die Fehlerbereinigung in diesem Fall alles andere als trivial sei, und insofern längere Zeit benötige.

Ausblick

Als Trost für die Nutzer bleibt zumindest, dass der Fehler einen weiteren Bug benötigt, um wirklich aktiv ausgenutzt werden zu können. Eine akute Gefahr besteht also zumindest nicht umgehend. In einer Stellungnahme zeigt sich Microsoft davon überzeugt, dass man in einem Monat dann zum nächsten Patch Day mit einem passenden Update aufwarten kann – das wäre dann Mitte März.

Disclosure Policy

Größere Ausnahmen von der 90-Tage-Regel macht das Project Zero nur in absoluten Ausnahmefällen – die allerdings bisher nur selten eingetroffen sind. Zuletzt waren das etwa die kritischen Prozessorlücken Meltdown und Spectre, wo man aufgrund der Komplexität des Problems und der vielen betroffenen Softwarehersteller mehr als sechs Monate mit der Veröffentlichung zuwartete.

Als Grund für die 90-Tages-Regel verweisen die Sicherheitsforscher darauf, dass man hier eine Balance zwischen der Unternehmensrealität und den Bedürfnissen der Nutzer schaffen will. Würde man keinen fixen Zeitraum festlegen, bestünde die Gefahr, dass viele Fehlerberichte schlicht monatelang ignoriert würden – ein Zeitraum, in dem auch andere diese Bugs für ihre Zwecke ausnutzen könnten. (apo, 19.2.2018)