Microsoft kritisiert Google für die Weitergabe von Informationen über Windows 8.1 Fehler

Microsoft ha criticado a Google por revelar públicamente una vulnerabilidad en Windows 8.1 antes de que tuviera la oportunidad de solucionarla. La falla, que podría permitir a un atacante obtener privilegios elevados en un sistema, fue reportada por el equipo Project Zero de Google el 29 de diciembre de 2023. Sin embargo, Microsoft dijo que solo se le dio un plazo de 90 días para solucionar el problema, que expiró el 27 de enero de 2024.

In einem Blog-Beitrag sagte Chris Betz, Senior Director of Security Response bei Microsoft, dass Googles Politik der automatischen Offenlegung von Sicherheitslücken nach 90 Tagen «weniger wie Prinzipien und mehr wie ein ‘gotcha’ ist, unter dem die Kunden wahrscheinlich leiden werden. «. Er argumentierte, dass Google sich mit Microsoft und anderen Anbietern hätte abstimmen müssen, um sicherzustellen, dass die Kunden geschützt sind, bevor die Details veröffentlicht werden.

Betz sagte auch, dass Microsoft plant, am 10. Februar 2024 im Rahmen seines monatlichen Sicherheitsupdate-Zyklus einen Fix für den Fehler zu veröffentlichen. Er sagte, dass die Veröffentlichung von Google die Kunden einem potenziellen Risiko ausgesetzt habe und die Komplexität des Testens und der Bereitstellung von Patches für Millionen von Geräten nicht berücksichtigt habe.

Google Project Zero ist ein Team von Sicherheitsforschern, die nach Schwachstellen in gängigen Softwareprodukten suchen und diese an die Hersteller melden. Das Team gibt den Anbietern 90 Tage Zeit, um die Probleme zu beheben. Danach veröffentlichen sie technische Details und Proof-of-Concept-Code auf ihrer Website. Google sagt, dass diese Politik die Transparenz und Verantwortlichkeit in der Sicherheitsbranche verbessern und die Anbieter dazu ermutigen soll, ihre Produkte schneller zu patchen.

Einige Anbieter und Sicherheitsexperten haben Google jedoch dafür kritisiert, zu starr zu sein und die realen Herausforderungen der Entwicklung und Bereitstellung von Patches nicht zu berücksichtigen. Sie argumentieren auch, dass Google keine Schwachstellen offenlegen sollte, die Hacker nicht aktiv ausnutzen, da dies ihnen einen Vorteil gegenüber Verteidigern verschaffen könnte.

Microsoft und Google sind in der Vergangenheit wegen Sicherheitsfragen aneinandergeraten. Im Jahr 2010 beschuldigte Google Microsoft, seine Suchergebnisse zu kopieren und sie in seiner eigenen Suchmaschine Bing zu verwenden. Im Jahr 2012 beschuldigte Microsoft Google, die Datenschutzeinstellungen von Internet Explorer-Nutzern zu umgehen und deren Online-Aktivitäten zu verfolgen. 2013 startete Microsoft eine Kampagne namens «Scroogled», in der Google vorgeworfen wurde, die E-Mails von Gmail-Nutzern zu Werbezwecken zu scannen.

Microsoft hat seine Enttäuschung über Google zum Ausdruck gebracht, weil es eine Sicherheitslücke in Windows 8.1 zwei Tage vor der Veröffentlichung eines Patches bekannt gegeben hat.

Googles Project Zero-Team, das nach Sicherheitslücken in verschiedenen Software-Produkten sucht, hat die Richtlinie, Details zu Fehlern 90 Tage nach der Benachrichtigung des Herstellers zu veröffentlichen.

Als Microsoft also am 13. Oktober über ein Problem mit Windows 8.1 informiert wurde, bat es Google um Geheimhaltung bis zum 13. Januar, wenn es im Rahmen des regulären Dienstags-Patches einen Fix ausrollen wollte.

Google hat sich jedoch entschlossen, am 11. Januar Informationen über den Fehler (und den zur Ausnutzung des Fehlers erforderlichen Code) zu veröffentlichen.

«Wir bitten Google, mit uns zusammenzuarbeiten, um Kunden zu schützen, indem wir Details zurückhalten, bis wir einen Fix veröffentlichen», schrieb der Leiter des Microsoft Security Response Center, Chris Betz, in einem Blogbeitrag.

Er fügte hinzu, dass es für Sicherheitsforscher und Softwareunternehmen an der Zeit ist, zusammenzuarbeiten und sich nicht über wichtige Schutzstrategien wie die Offenlegung von Schwachstellen und deren Behebung zu streiten.

Microsoft hält sich an die Praxis der koordinierten Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure, CVD), die diejenigen, die Schwachstellen finden, dazu ermutigt, diese direkt an die betroffenen Produkthersteller zu melden, um «das Zeitfenster zu begrenzen, in dem die Kunden und ihre Daten besser geschützt werden können», so Betz.