Google deckt erneut offene Sicherheitslücke in Windows auf

Sicherheitsforscher bei Googles Project Zero haben eine Sicherheitslücke veröffentlicht, die derzeit noch ungepatcht ist. Sollte Microsoft seinen derzeitigen Patch-Rhythmus für Windows 10 beibehalten, wird die Lücke vermutlich erst beim Patchday im März gestopft. Ein Programmierfehler in der Grafikbibliothek GDI erlaubt Nutzern den Speicherinhalt auszulesen, die eigentlich nicht die nötigen Berechtigungen dazu haben.

Google hat Microsoft bereits vor 90 Tagen über die Lücke informiert. Da nicht innerhalb der 90-Tage-Frist gepatcht wurde, wurde der Bericht über die Lücke nach Googles eigenen Project-Zero-Richtlinien veröffentlicht. Die Forscher spekulieren, dass die Lücke möglicherweise mit dem Februar-Patchday geschlossen worden wäre, den Microsoft ausfallen ließ.

Früherer Vorfall

Im November 2016 sorgte ein ähnlicher Zwischenfall für Anspannung zwischen Google und Microsoft. Auch dabei hat Google eine Sicherheitslücke publik gemacht. Allerdings wurde Microsoft nur sieben Tage zuvor über die Lücke informiert. Google begründete die kurze Frist damit, dass die Lücke bereits aktiv ausgenutzt werde.

Microsoft reagierte damals verstimmt auf die Veröffentlichung der Lücke: „Wir glauben an das koordinierte Aufzeigen von Schwachstellen und die heutige Publikation durch Google hat Konsumenten potenziell gefährdet“, so der Konzern in einer Stellungnahme gegenüber US-Medien. Sicherheitsexperten konnten einerseits nachvollziehen, dass Google Druck ausübt, damit die Lücke schnell gestopft wird. Andererseits wurden durch die Veröffentlichung möglicherweise mehr potenzielle Angreifer auf die Schwachstelle aufmerksam.