Eine Sicherheitslücke, die in Windows 7 und 8.1 klafft, hat Google offengelegt. Durch die Lücke kann auf den eigentlich verschlüsselten Speicherinhalt eines Programms zugegriffen werden, welches von einem anderen Benutzer ausgeführt wird. Das System ist dadurch zwar nicht direkt aus dem Netz angreifbar, kann aber in Kombination mit anderen Lücken bei einem Angriff die Sicherheit des Betriebssystems zusätzlich schwächen. Google hat zusammen mit der Beschreibung der Lücke auch Beispielcode für das Ausnutzen selbiger zur Verfügung gestellt.

Microsoft bittet darum, Details zu Sicherheitslücken erst zu veröffentlichen, wenn bereits ein Patch verfügbar ist. Google's Sicherheitsteams verfolgen allerdings eine andere Strategie. Diese geben Firmen standardmäßig exakt 90 Tage Zeit um einen Patch zu entwickeln. Sollte zwischen dem Melden einer Lücke und der Verfügbarkeit eines Patches mehr Zeit vergehen, wird die Lücke - wie in diesem Fall - veröffentlicht.

Bei der aktuellen Lücke befindet sich Microsoft in der Zwickmühle, da der Patch offensichtlich verzögert wurde, da beim Testen Probleme auftraten. Wenn Microsoft einen solchen Patch verfrüht veröffentlicht, könnten Nutzer Probleme mit ihren Systemen bekommen. Wenn aber die Windows-Entwickler länger testen, riskieren sie, dass eine möglicherweise gefährliche Lücke über Wochen die Systeme der Nutzer unsicher macht.

(nd, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE