Sollte Google Schwachstellen ankündigen, bevor sie gepatcht wurden?

Warum meldet Google Sicherheitslücken in Microsoft Windows? Führt Google damit seine Konkurrenz effizienter ein? Was ist mit den Nutzern? Ist die strikte Einhaltung der Fristen durch Google in unserem Interesse?

Warum meldet Google Sicherheitslücken in Microsoft Windows?  Führt Google damit seine Konkurrenz effizienter ein?  Was ist mit den Nutzern?  Ist die strikte Einhaltung der Fristen durch Google in unserem Interesse?
Werbung

Google ist nicht aufzuhalten. Innerhalb von weniger als drei Wochen gab Google insgesamt vier Zero-Day-Schwachstellen bekannt, die Windows betreffen, zwei davon nur wenige Tage bevor Microsoft bereit war, einen Patch zu veröffentlichen. Microsoft war nicht amüsiert und nach Googles Reaktion werden wahrscheinlich weitere derartige Fälle folgen.

Führt Google damit seine Konkurrenz effizienter ein? Und was ist mit den Nutzern? Ist Google strikt an willkürlichen Terminen in unserem Interesse interessiert?

Warum meldet Google Windows-Sicherheitsanfälligkeiten?

Project Zero, ein Team von Google-Sicherheitsanalysten, hat Zero-Day-Exploits erforscht. Was ist eine Zero-Day-Schwachstelle? [MakeUseOf Explains] Was ist eine Zero-Day-Schwachstelle? [MakeUseOf Explains] Read More seit 2014. Das Projekt wurde gegründet, nachdem eine Teilzeit-Forschungsgruppe mehrere Softwarefehler identifiziert hatte, einschließlich der kritischen Heartbleed-Schwachstelle Heartbleed - Was können Sie tun, um sicher zu bleiben? Heartbleed - Was können Sie tun, um sicher zu bleiben? Weiterlesen .

In ihrer Ankündigung von Project Zero betonte Google, dass es oberste Priorität sei, ihre eigenen Produkte sicher zu machen. Da Google nicht im luftleeren Raum agiert, erstreckt sich ihre Forschung auf jede Software, die ihre Kunden verwenden.

Bis jetzt hat das Team über 200 Fehler in verschiedenen Produkten identifiziert, darunter Adobe Reader, Flash, OS X, Linux und Windows. Jede Sicherheitsanfälligkeit wird nur dem Softwarehersteller gemeldet und erhält eine Gnadenfrist von 90 Tagen. Danach wird sie über das Google Security Research-Forum veröffentlicht.

Dieser Fehler unterliegt einer Offenlegungsfrist von 90 Tagen. Wenn 90 Tage ohne einen allgemein verfügbaren Patch verstreichen, wird der Fehlerbericht automatisch für die Öffentlichkeit sichtbar.

Das ist mit Microsoft passiert. Vier Mal. Die erste Windows-Schwachstelle (Ausgabe # 118) wurde am 30. September 2014 identifiziert und anschließend am 29. Dezember 2014 veröffentlicht. Am 11. Januar, nur wenige Tage bevor Microsoft bereit war, über Patch Tuesday Windows Update: Alles, was Sie brauchen, eine Lösung zu veröffentlichen Windows Update: Alles, was Sie wissen müssen Ist Windows Update auf Ihrem PC aktiviert? Windows Update schützt Sie vor Sicherheitslücken, indem Windows, Internet Explorer und Microsoft Office mit den neuesten Sicherheitspatches und Fehlerbehebungen auf dem neuesten Stand gehalten werden. Lesen Sie weiter, die zweite Schwachstelle (Ausgabe # 123) wurde veröffentlicht und eine Diskussion darüber ausgelöst, ob Google nicht hätte warten können. Nur Tage später erschienen zwei weitere Sicherheitslücken (Problem # 128 & Problem # 138) in der öffentlichen Datenbank und eskalierten die Situation weiter.

Gehackt

Was ist hinter den Kulissen passiert?

Das erste Problem (# 118) war eine kritische Sicherheitsanfälligkeit bezüglich der Rechteeskalation, die sich auf Windows 8.1 auswirkte. Den Hacker News zufolge könnte es " einem Hacker erlauben, Inhalte zu verändern oder sogar die Computer des Opfers komplett zu übernehmen, was Millionen von Benutzern angreifbar macht ". Google hat zu diesem Problem keine Kommunikation mit Microsoft hergestellt.

Bei der zweiten Ausgabe (# 123) hat Microsoft um eine Erweiterung gebeten, und als Google dies ablehnte, bemühten sie sich, den Patch einen Monat früher zu veröffentlichen. Dies waren James Forshaws Kommentare:

Microsoft hat bestätigt, dass sie im Februar 2015 das Ziel haben, Fixes für diese Probleme bereitzustellen. Sie fragten, ob dies zu einem Problem mit der Frist von 90 Tagen führen würde. Microsoft wurde darüber informiert, dass die Frist von 90 Tagen für alle Anbieter und Fehlerklassen festgelegt wurde und daher nicht verlängert werden kann. Außerdem wurde ihnen mitgeteilt, dass die Frist von 90 Tagen für diese Ausgabe am 11. Januar 2015 abläuft.

Microsoft hat mit Update Tuesday im Januar Patches für beide Probleme veröffentlicht.

Mit dem dritten Problem (# 128) musste Microsoft aufgrund von Kompatibilitätsproblemen einen Patch verschieben.

Microsoft hat uns mitgeteilt, dass eine Reparatur für die Januar-Patches geplant war, aber aufgrund von Kompatibilitätsproblemen durchgeführt werden muss. Daher wird das Update jetzt in den Februar-Patches erwartet.

Obwohl Microsoft Google darüber informiert hat, dass sie an dem Problem arbeiten, aber Schwierigkeiten haben, hat Google die Schwachstelle veröffentlicht. Keine Verhandlung, keine Gnade.

Für die letzte Ausgabe (# 138) entschied Microsoft, es nicht zu beheben. James Forshaw fügte den folgenden Kommentar hinzu:

Microsoft ist zu dem Schluss gekommen, dass das Problem nicht die Anforderungen eines Security Bulletins erfüllt. Sie geben an, dass der Angreifer zu viel Kontrolle benötigt und Gruppenrichtlinieneinstellungen nicht als Sicherheitsmerkmal betrachten.

Ist das Verhalten von Google akzeptabel?

Microsoft glaubt das nicht. In einer gründlichen Antwort fordert Chris Betz, Senior Director des Microsoft Security Research Center, eine besser koordinierte Offenlegung von Sicherheitslücken. Er betont, dass Microsoft an Coordinated Vulnerability Disclosure (CVD) glaubt, einer Vorgehensweise, bei der Forscher und Unternehmen bei Schwachstellen zusammenarbeiten, um das Risiko für die Kunden zu minimieren.

In Bezug auf die jüngsten Ereignisse bestätigt Betz, dass Microsoft Google ausdrücklich gebeten hat, mit ihnen zusammenzuarbeiten und Details geheim zu halten, bis die Patches während des Patch-Tuesday verteilt wurden. Google hat die Anfrage ignoriert.

Obwohl die Einhaltung der von Google angekündigten Veröffentlichungsfristen eingehalten wird, fühlt sich die Entscheidung weniger wie Prinzipien an und eher wie ein "Gotcha", bei dem die Kunden darunter leiden.

Laut Betz erleben öffentlich gemeldete Schwachstellen orchestrierte Angriffe von Cyber-Kriminellen, eine Handlung, die kaum zu sehen ist, wenn Probleme privat durch CVD offengelegt und gepatcht werden, bevor die Informationen öffentlich werden. Weiter Betz sagt, dass nicht alle Sicherheitslücken gleich sind, was bedeutet, dass die Zeit, in der ein Problem behoben wird, von seiner Komplexität abhängt.

Rotes Seil

Sein Ruf nach Zusammenarbeit ist laut und klar und seine Argumente sind solide. Die Reflexion, dass keine Software perfekt ist, weil sie von einfachen Menschen gemacht wird, die mit komplexen Systemen arbeiten, ist liebenswert. Betz trifft den Nagel auf den Kopf, als er sagt:

Was für Google richtig ist, ist für Kunden nicht immer richtig. Wir fordern Google auf, den Schutz der Kunden zu unserem gemeinsamen Hauptziel zu machen.

Die andere Sichtweise ist, dass Google eine etablierte Richtlinie hat und nicht Ausnahmen zulassen will. Dies ist nicht die Art von Inflexibilität, die Sie von einem hochmodernen Unternehmen wie Google erwarten würden. Darüber hinaus ist die Veröffentlichung nicht nur der Schwachstelle, sondern auch des Exploit-Codes unverantwortlich, da Millionen von Benutzern von einem konzertierten Angriff betroffen sein könnten.

Wenn das wieder geschieht, was können Sie tun, um Ihr System zu schützen?

Keine Software wird jemals vor Zero-Day-Exploits geschützt sein. Sie können Ihre eigene Sicherheit erhöhen, indem Sie eine Sicherheit für den gesunden Menschenverstand übernehmen. Dies empfiehlt Microsoft:

Wir ermutigen Kunden, ihre Antiviren-Software zu behalten. Die beste Windows-Software Die beste Windows-Software Windows schwimmt in einem Meer von kostenlosen Anwendungen. Welchen können Sie vertrauen und welche sind die besten? Wenn Sie sich nicht sicher sind oder eine bestimmte Aufgabe lösen müssen, konsultieren Sie diese Liste. Lesen Sie mehr auf dem neuesten Stand, installieren Sie alle verfügbaren Sicherheitsupdates 3 Gründe, warum Sie die neuesten Windows-Sicherheitspatches und Updates ausführen sollten 3 Gründe, warum Sie die neuesten Windows-Sicherheitspatches und Updates ausführen sollten Der Code, aus dem das Windows-Betriebssystem besteht, enthält Sicherheit Schleifenlöcher, Fehler, Inkompatibilitäten oder veraltete Softwareelemente. Kurz gesagt, Windows ist nicht perfekt, das wissen wir alle. Sicherheits-Patches und Updates beheben die Schwachstellen ... Lesen Sie mehr und aktivieren Sie die Firewall Die beste Windows-Software Die beste Windows-Software Windows schwimmt in einem Meer von kostenlosen Anwendungen. Welchen können Sie vertrauen und welche sind die besten? Wenn Sie sich nicht sicher sind oder eine bestimmte Aufgabe lösen müssen, konsultieren Sie diese Liste. Lesen Sie mehr auf ihrem Computer.

Unser Urteil: Google sollte mit Microsoft zusammenarbeiten

Google hielt an seiner willkürlichen Frist fest, anstatt flexibel zu sein und im besten Interesse seiner Nutzer zu handeln. Sie hätten die Gnadenfrist für das Aufdecken der Sicherheitsanfälligkeiten verlängern können, insbesondere nachdem Microsoft mitgeteilt hatte, dass Patches (fast) bereit waren. Wenn Googles edles Ziel ist, das Internet sicherer zu machen, müssen sie bereit sein, mit anderen Unternehmen zusammenzuarbeiten.

In der Zwischenzeit könnte Microsoft möglicherweise mehr Ressourcen auf die Entwicklung von Patches geworfen haben. 90 Tage werden von einigen als ausreichender Zeitrahmen angesehen. Auf Druck von Google haben sie tatsächlich einen Patch einen Monat früher veröffentlicht als ursprünglich angenommen. Es sieht fast so aus, als hätten sie das Thema ursprünglich nicht hoch genug priorisiert.

Wenn der Softwareanbieter signalisiert, dass er an dem Problem arbeitet, sollten Forscher wie das Project Zero-Team von Google kooperieren und Kulanzzeiten verlängern. Sicherheitsanfälligkeit durch Windows-Nutzer Achtung: Sie haben ein schwerwiegendes Sicherheitsproblem Windows-Benutzer achten: Sie haben ein schwerwiegendes Sicherheitsproblem Read More secret scheint sicherer zu sein als die Aufmerksamkeit von Hackern zu erregen. Sollte nicht die Sicherheit der Kunden oberste Priorität haben?

Was denken Sie? Was wäre eine bessere Lösung gewesen oder hat Google schließlich das Richtige getan?

Bildnachweis: Wizard Via Shutterstock, gehackt von wk1003mike via Shutterstock, Red Rope von Mega Pixel via Shutterstock

In this article