Die Sicherheits-Teams von Google und Microsoft werden wohl keine Freunde mehr: Zum wiederholten Male hat Googles "Project Zero" nun eine Sicherheitslücke in der Software des Windows-Herstellers öffentlich gemacht, bevor ein Update verfügbar ist.

Bug

Über einen Fehler im .Net-Framework lässt sich ein zentrales Sicherheits-Feature von Windows 10S aushebeln, der sogenannte Device Guard. Dieses Tool läuft zudem auch auf vielen normalen Windows 10-Rechnern mit aktiviertierter "User Mode Code Integrity", was etwa auf Unternehmensrechnern oft der Fall ist.

Zeitablauf

Das Project Zero hat die Lücke am 19. Jänner an Microsoft gemeldet. Das Unternehmen hat zwar bald versprochen, das Problem zu bereinigen, aber dabei betont, dass man dies nicht innerhalb der von den Entdeckern des Problems vorgegebenen Frist schaffen wird. In den letzten Wochen hat Microsoft dann um eine Verlängerung der Geheimhaltung bis zum Mai Patch Day gebeten, was Google aber abgelehnt hat.

Der zuständige Sicherheitsforscher argumentiert, dass der Fehler an sich nur "moderat" gefährlich ist. Zudem gebe es zumindest noch zwei ähnliche solcher Fehler in .Net, insofern mache es keinen Sinn hier noch ewig auf Microsoft zu warten. Zwar lasse sich der Bug theoretisch sogar von außen ausnutzen, dafür müsste aber bereits andere Malware auf dem Rechner befindlich sein.

Project Zero

Googles Project Zero wurde mit dem Ziel gestartet, Sicherheitslücken in viel benutzter Software aufzuspüren, um so die IT-Sicherheit generell zu verbessern. Dabei hat man sich einer fixen 90-Tage-Disclosure-Policy verschrieben, von der nur in speziellen Ausnahmefällen abgegangen wird. Auf diese Weise will man sicherstellen, dass die Hersteller zwar vorab informiert werden, aber rasch reagieren müssen. Immerhin bestünde sonst die Gefahr, dass der betreffende Anbieter die Lücken einfach lange liegen lässt – und sie unterdessen jemand anderer aufspürt. (red, 23.4.2018)