Digital Life
22.02.2018

Kein Patch: Google deckt nächste Windows-10-Lücke auf

Googles „Project Zero“ hat wieder eine Schwachstelle veröffentlicht, die nicht rechtzeitig gestopft wurde.

Drei Tage nachdem Google eine Zero-Day-Lücke im Windows-10-Browser Edge aufgedeckt hat, legen die Sicherheitsforscher nach. Und auch diesmal ließ Microsoft die 90-tägige Frist verstreichen, die Google Herstellern gibt, Lücken zu stopfen, bevor sie damit an die Öffentlichkeit gehen. 

Die neueste offene Schwachstelle ermöglicht normalen Nutzern, Administratorrechte zu erlangen, wie die Google-Forscher von Project Zero schreiben. Microsoft stuft die Lücke als „wichtig“, aber nicht als „kritisch“ ein, wie es heißt. Grund dafür könnte sein, dass Angreifer zum Ausnutzen bereits Code auf dem entsprechenden Gerät laufen haben müssen. Von außen lässt sich die Schwachstelle nicht ausnutzen. Auch eine Sandbox (wie sie etwa bei den Browsern Edge und Chrome zum Einsatz kommt) schützt davor. 

Googles Vorgehen, die Lücken auch dann publik zu machen, wenn es keinen Patch gibt, stößt auch auf Kritik. Unter anderem auch deswegen, weil es sich bei Microsoft um ein Konkurrenzunternehmen handelt.