Google veröffentlicht weitere Windows-Lücken

Googles Project Zero hat drei weitere Windows-Lücken veröffentlicht. Einem Bericht von Computerworld zufolge entwickelt Microsoft keine Patches. Die Anfälligkeiten erfüllen nach Ansicht des Softwarekonzerns nicht die Anforderungen für ein Security Bulletin, das zeigt ein Eintrag in Googles Bug Tracker.

Google hatte Microsoft Ende Oktober sowie Anfang November über die Schwachstellen informiert. Laut dem Konzern führen die Lücken zur Preisgabe von Informationen oder einer nicht autorisierten Ausweitung von Nutzerrechten. Wie Computerworld weiter berichtet, bewerte Microsoft solche Anfälligkeiten in der Regel nicht höher als “wichtig”.

“Die öffentlich gemachten Fehler haben keine ernsten Auswirkungen auf die Sicherheit”, zitiert Computerworld aus einer E-Mail eines Microsoft-Sprechers. “Wir haben nicht vor, ein Sicherheitsupdate dafür herauszubringen.”

Betroffen sind die 32- und 64-Bit-Versionen von Windows 8.1. Wahrscheinlich gilt das auch für ältere Versionen des Betriebssystems. Google hat nur eine der Schwachstellen auch unter Windows 7 getestet. Wie ein Nutzer mitteilt, konnte er einen der Bugs mithilfe des von Google bereitgestellten Beispielcodes auch in der Preview von Windows 10 nachvollziehen.

James Forshaw hat sämtliche von Google veröffentlichten Windows-Lücken entdeckt. Seit August 2014 arbeitet er für Project Zero. Forshaw gilt dem Bericht zufolge als anerkannter Experte für Windows-Sicherheitslücken. Von Microsoft erhielt er eine Belohnung von 100.000 Dollar für die Beschreibung, wie sich Sicherheitstechniken von Windows umgehen lassen.

2013 hatte er eine Schwachstelle in Internet Explorer 11 entdeckt und 9400 Dollar von Microsoft dafür erhalten. Forshaw beteiligte sich 2013 außerdem erfolgreich am Hackerwettbewerb Pwn2Own. Die Präsentation einer Schwachstelle in Oracle Java brachte ihm ein Preisgeld von 20.000 Dollar ein.

Googles Veröffentlichungen von Windows-Lücken hatten vor kurzem zu einem Streit mit Microsoft geführt. Auslöser war die Offenlegung eines Rechteausweitungsproblems zwei Tage vor Microsofts Patchday, zumal Microsoft Google über den bevorstehenden Patch informiert und gebeten hatte, die Veröffentlichung von Details zu verschieben. Google vertritt jedoch die Ansicht, dass die vorgegebene Frist von 90 Tagen ein “optimaler Ansatz ist”. Der Anbieter habe genug Zeit, eine Lücke zu schließen, und der Nutzer erhalte die Möglichkeit, zeitnah auf Schwachstellen zu reagieren.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Organisationsstruktur beeinflusst Cybersicherheit

Auf Basis einer Umfrage untersucht Sophos drei Organisationsszenarien und beurteilt deren Wirkung auf Cybercrime-Abwehr.

22 Stunden ago

Malware im März: Remcos löst CloudEyE ab

Neue Methode zur Verbreitung des Remote Access Trojaners (RAT) Remcos steht in Deutschland auf Platz…

22 Stunden ago

Künstliche Intelligenz in der Industrie 4.0: Chancen und Risiken

Maßnahmen zur Cyber-Sicherheit müssen sich darauf konzentrieren, KI-Systeme vor Angriffen zu schütze, sagt Thomas Boele…

2 Tagen ago

KI macht WordPress sicherer

WordPress ist die Nummer Eins für Webseiten-Software, scheint aber im Fokus von Hackern zu stehen.

2 Tagen ago

IBM sieht Europa im Auge des Cybersturms

Kein anderer Kontinent verzeichne ähnlich viele Angriffe auf seine IT-Systeme. Besonders ernst sei die Lage…

3 Tagen ago

REWE-Geschäftsführer bekommt digitalen Zwilling

Als Avatar soll Chief Digital Information Officer Robert Zores neuen Mitarbeitenden beim Onboarding helfen.

3 Tagen ago