Google weist erneut auf ungepatchte Sicherheitslücken in Windows hin

BetriebssystemSicherheitSicherheitsmanagementWorkspace
(Bild: Shutterstock/FuzzBones)

Angreifer könnten darüber Informationen abgreifen oder unautorisiert die Nutzerrechte erweitern. Laut Google stecken die Lücken in Windows 8.1 und auch in Windows 7. Microsoft verteidigt sich damit, dass die Schwachstellen nicht relevant seien. Sie sollen daher auch nicht gepatcht werden.

Google hat drei weitere Windows-Lücken öffentlich gemacht. Wie Computerworld berichtet, hatte Microsoft Google zuvor mitgeteilt informiert, dass es für die Schwachstellen keine Patches geben wird. Einem Eintrag in Googles Bug Tracker zufolge ist Microsoft zu dem Schluss gekommen, dass die Anfälligkeiten keinen Security Bulletin erforderlich machen.

(Bild: Shutterstock/FuzzBones)

Der Internetkonzern hatte Microsoft am 27. Oktober, 5. November und 10. November über die Lücken informiert. Sie führen laut Google entweder zur Preisgabe von Informationen oder einer nicht autorisierten Ausweitung von Nutzerrechten. Microsoft bewerte solche Anfälligkeiten in der Regel nicht höher als “wichtig”, so Computerworld weiter.

“Die öffentlich gemachten Fehler haben keine ernsten Auswirkungen auf die Sicherheit”, zitiert Computerworld aus einer E-Mail eines Microsoft-Sprechers. “Wir haben nicht vor, ein Sicherheitsupdate dafür herauszubringen.”

Die Fehler stecken laut Google in den 32- und 64-Bit-Versionen von Windows 8.1. Ältere Versionen des OS sind wahrscheinlich auch betroffen – nur eine der Lücken hat Google auch unter Windows 7 getestet. Ein Nutzer konnte nach eigenen Angaben einen der Bugs mithilfe des von Google bereitgestellten Beispielcodes auch in der Preview von Windows 10 nachvollziehen.

Alle Windows-Lücken, die Google bisher publik gemacht hat, wurden von James Forshaw entdeckt, der seit August 2014 für Project Zero arbeitet. Forshaw ist dem Bericht zufolge ein anerkannter Experte für Windows-Sicherheitslücken. Er habe unter anderem eine Möglichkeit beschrieben, Sicherheitstechniken von Windows zu umgehen, wofür Microsoft ihm eine Belohnung von 100.000 Dollar gezahlt habe.

2013 hatte Forshaw auch eine Lücke in Internet Explorer 11 aufgedeckt und dafür 9400 Dollar von Microsoft erhalten. Zudem nahm Forshaw 2013 erfolgreich am Hackerwettbewerb Pwn2Own teil. Die Präsentation einer Schwachstelle in Oracle Java brachte ihm ein Preisgeld von 20.000 Dollar ein.

Die Offenlegung von Windows-Lücken durch Google hatte zuletzt zu einem Streit zwischen beiden Unternehmen geführt. Auslöser war die Offenlegung eines Rechteausweitungsproblems zwei Tage vor Microsofts Januar-Patchday, zumal Microsoft Google über den bevorstehenden Patch informiert und gebeten hatte, die Veröffentlichung von Details zu verschieben. Google vertritt jedoch die Ansicht, dass die vorgegebene Frist von 90 Tagen ein “optimaler Ansatz ist”. Der Anbieter habe genug Zeit, eine Lücke zu schließen, und der Nutzer erhalte die Möglichkeit, zeitnah auf Schwachstellen zu reagieren.

[mit Material von ZDNet.de]

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU