• Folge Uns
    • Facebook
    • Twitter
    • Youtube
    • Flipboard
  • ENG
Mobilegeeks
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
Powered By GDATA
Powered By GDATA
Previous Story
Mobilegeeks goes Slack!

von Bernd Rubel

Next Story
New York Times nun mit täglichen 360°-Videos

von Mika Baumeister

Google verpetzt Microsoft und die Redmonder toben

Google veröffentlicht eine kritische Sicherheitslücke in Microsoft Windows, Terry Myerson ist stinksauer. Die Praxis bei Zero-Day Lücken ist umstritten.

von Bernd Rubel am 2. November 2016
  • Email
  • @markensysteme

Eine der unausgesprochenen Vereinbarungen zwischen Hackern, Anbietern von Sicherheitslösungen und den Herstellern von Betriebssystemen, Software und Services lautet: Man spricht nicht mit Dritten über eine entdeckte Zero-Day-Lücke. Diese bis zum Zeitpunkt der Entdeckung noch neue Bedrohung wird vom Entdecker ausschließlich an den jeweiligen Hersteller gemeldet. Dieser hat dann normalerweise circa 60 bis 90 Tage Zeit, entsprechende Gegenmaßnahmen zu treffen und die Lücke schnellstmöglich zu schließen. Erst dann wird der Vorfall publik gemacht.

Die Regel hat einen Sinn. Mit dem öffentlichen Bekanntwerden einer Sicherheitslücke fühlen sich normalerweise nicht nur Script Kiddies herausgefordert, alle möglichen Experimente zu starten. Je nach Brisanz wecken diese Löcher in den Sicherheitsmechanismen der Anbieter auch die besondere Aufmerksamkeit von professionellen Angreifern, die es im großen Stil auf das Attackieren betroffener Systeme abgesehen haben.

Gegen dieses Agreement zur Bewahrung von Stillschweigen hat Google nun zum wiederholten Male verstoßen. Die Sicherheitsexperten des Suchmaschinenriesen hatten eine Sicherheitslücke im Systemkern von Windows entdeckt, die – oh Wunder – auf auf einer Sicherheitslücke im Adobe Flash Player basiert. Unter dem Eintrag CVE-2016-7855 ist die Flash-Lücke bereits in der National Vulnerability Database (NVD) erfasst. Angreifer können Systeme mit Windows 7, Windows 8 oder Windows 10 mit Schadcode infiltrieren, die Sicherheitseinstellungen des Betriebssystems aushebeln und die Kontrolle über den Rechner übernehmen.

Am 21. Oktober übermittelte Google die Erkenntnisse über die Schwachstelle an Microsoft, zu diesem Zeitpunkt begann also die miteinander vereinbarte “Quarantänezeit”. Doch bereits am 31. Oktober, nur 10 Tage später, legte Google auf dem eigenen Security-Blog nach und veröffentlichte weitere Details zu dem brisanten Sicherheitsleck.

Microsoft zeigte sich alles andere als amüsiert über dieses Vorpreschen von Google und nutzte die Gelegenheit, die durchaus umstrittene Praxis einer frühen Veröffentlichung scharf zu kritisieren. Adobe habe die Sicherheitslücke über die automatische Update-Funktion bereits am 26. Oktober geschlossen, bis dahin seien also nur wenige Tage vergangenen. Die Aktualisierung eines Systemkerns sei aber wesentlich komplexer und nicht in einer derart kurzen Zeit durchzuführen, zumal neben der Programmierung auch noch entsprechende Kompatibilitätstest und ein koordinierter Rollout durchzuführen seien.

Microsoft hat mit seinen zum wiederholten Male geäußerten Bedenken eine Reihe von Sicherheitsexperten auf seiner Seite. Viele Fachleute vertreten die Auffassung, dass eine Veröffentlichung von Sicherheitslücken erst dann stattfinden solle, wenn ein Patch zur Verfügung stehe. Eine vorgezogene Veröffentlichung setze die Benutzer einem ungleich höheren Risiko aus.

Die 10 Betriebssysteme mit den meisten Sicherheitslücken (via cvedetails.com)

NameSicherheitslücken
01Mac OS X1664
02Linux Kernel1514
03iPhone OS977
04Debian Linux887
05OpenSuse776
06Ubuntu Linux749
07Windows Server 2008739
08Windows XP727
09Windows Vista720
10Mac Os X Server639

Im vorliegenden Fall befürchtet Microsoft, dass Angreifer nun gezielt versuchen könnten, andere Wege zum Einschleusen von Schadcode zu finden. Da Adobe die Sicherheitslücke geschlossen hat, könnten diese Attacken auf anderen Wegen vorerst unerkannt bleiben und bis zu einem Patch des Betriebssystems eine unnötige Gefahr bedeuten. Terry Myerson, Executive Vice President für Microsoft’s Windows teilte unterdessen mit, dass Benutzer mit Windows 10, Microsoft Edge und dem Anniversary Update gegen alle Exploits abgesichert seien, die von Googles Sicherheitsexperten angeblich in freier Wildbahn gesichtet worden sind.

Hinter den bisher identifizierten Attacken sollen Mitglieder der Hacker-Gruppe “Strontium” stehen, die bevorzugt Systeme öffentlicher und militärischer Institutionen angreifen. Normalerweise werden dazu – ganz klassisch – über Monate hinweg Mails an eine Vielzahl von Accounts geschickt, die sich bei einer erfolgreichen Infektion weiterverbreiten und immer tiefer in den betroffenen Netzwerkstrukturen einnisten.

Die Tech-Presse ist sich einig: Windows 10 spioniert. Und selbstverständlich gibt es dagegen Tools, die man sich glücklicherweise downloaden kann.
Panikmache in der deutschen Tech-Presse.

Lesenswert:
Verdammt, nun macht endlich dieses Windows 10 Upgrade!

Der Vorfall rückt erneut eine Problematik in den Fokus, der Microsoft mit dem zeitweise kostenlosen Upgrade auf Windows 10 begegnen wollte. Windows 7 befindet sich momentan immer noch auf rund 48% aller Systeme, Windows 8 und 8.1 kommen auf immerhin 2% bzw. 8%. Windows 10 hat mittlerweile einen Marktanteil von circa 23% erreicht. Microsoft muss also bei versionsübergreifenden Sicherheitslücken stets mehrere Kernel aktualisieren und entsprechende Sicherheitsupdates bereitstellen. Nicht zuletzt unter diesem Gesichtspunkt war das kostenlose Upgrade auf Windows 10 alles andere als eine reine Werbeaktion, dahinter standen eine knallharte Kosten-Nutzen-Analyse und der glaubhafte Wille, das eigene Ökosystem besser und schneller abzusichern.

Die frühzeitige Veröffentlichung der Sicherheitslücke durch Google wirkt umso unsinniger, wenn man den Ratschlag an die Benutzer liest. Diese sollen, so Google, auf einen Patch von Microsoft warten. Aha.

iPhone Security Windows
GoogleMicrosoft
Ähnliche Artikel
Die besten Apps für euer iPhone und iPad (Januar 2021)
4. Januar 2021
Die besten Apps für euer iPhone und iPad (Januar 2021)
Dieser Algorithmus entziffert von euch unkenntlich gemachte Daten
18. Dezember 2020
Dieser Algorithmus entziffert von euch unkenntlich gemachte Daten
Die besten Apps für euer iPhone und iPad (Dezember 2020)
1. Dezember 2020
Die besten Apps für euer iPhone und iPad (Dezember 2020)
Ransomware-Attacke war doch nicht für Krankenhaus-Tote verantwortlich
16. November 2020
Ransomware-Attacke war doch nicht für Krankenhaus-Tote verantwortlich
Neueste Tests
9.0
Ich muss zugeben, dass iPhone-Modelle der Vergangenheit für mich nicht wirklich attraktiv waren, jed ...
Ein Tag im Leben mit dem iPhone 11 Pro Max – Richtig gutes Gesamtpaket
30. Oktober 2019
Ein Tag im Leben mit dem iPhone 11 Pro Max – Richtig gutes Gesamtpaket
8.7
Insgesamt bekommt man für den Preis wirklich gut funktionierendes und zuverlässiges Sicherheitssyste ...
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
2. Juli 2018
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
8.4
Das neue Surface Pro ist ein gelungenes Update zum Surface Pro 4. Es macht nicht viel neu, setzt abe ...
Microsoft Surface Pro (2017): Die ersten Tests im Überblick *Update*
29. Juni 2017
Microsoft Surface Pro (2017): Die ersten Tests im Überblick *Update*
7.6
Insgesamt ist das Dell XPS 13 9360 ein schönes Arbeitsgerät für den ultramobilen Einsatz. Obwohl die ...
Dell XPS 13 2017 (9360) Test: Kleines Update beim kleinsten 13-Zöller des Planeten?
10. April 2017
Dell XPS 13 2017 (9360) Test: Kleines Update beim kleinsten 13-Zöller des Planeten?

Fernweh

Wir beschäftigen uns mit den Themen und der Technik von Morgen und Übermorgen - Von Smartcities über Sharing-Economy bishin zur Mobilität der Zukunft

Heiss diskutiert
2021 mit guten Datenschutz-Vorsätzen beginnen
von Michael Sprick
2021 mit guten Datenschutz-Vorsätzen beginnen
Die besten Apps für euer iPhone und iPad (Januar 2021)
von Felix Baumann
Die besten Apps für euer iPhone und iPad (Januar 2021)
“Repressive Maßnahme”- GB-Richterin widerspricht US-Auslieferung
von Michael Sprick
“Repressive Maßnahme”- GB-Richterin widerspricht US-Auslieferung
Telegram’s neues Feature “Leute in der Nähe” ist eine datenschutztechnische Vollkatastrophe
von Michael Sprick
Telegram’s neues Feature “Leute in der Nähe” ist eine datenschutztechnische Vollkatastrophe
Hubs
  • Laptops
  • Magazin
  • Smart Cars
  • Smartphone
  • Tablets
  • Wearables
Weitere Themen
  • OnePlus 5
  • Samsung Galaxy S8
  • LG G6
  • Microsoft Surface Laptop
  • Amazon Blitzangebote
  • Adblock Plus
  • Testberichte (Archiv)
  • ASUS
  • Microsoft
  • Apple
  • Sitemap
Intern
  • Sponsoring und Werbung
  • Über uns
  • Sponsorenübersicht
  • Impressum
  • Datenschutzerklärung
FOLGE UNS
Copyright © 2021 Mobilegeeks.de, Alle Rechte vorbehalten