Google-Sicherheitsingenieur macht Sicherheitslücke in Windows 7 und Windows 8 öffentlich

Ein Google-Mitarbeiter hat eine Sicherheitslücke in Windows gefunden. Das passiert recht häufig, ist also eher die Regel denn die Ausnahme. Neu ist allerdings der Umgang damit, der ein weiteres Indiz dafür ist, dass das Klima zwischen den beiden Konzernen zunehmend rauer wird.
Microsoft bittet darum, bei gefundenen Sicherheitsproblemen direkt kontaktiert zu werden, unterhält mit dem “Security Response Team” eine eigene Abteilung dafür. Damit soll verhindert werden, dass Informationen zum Ausnutzen der Sicherheitslücke an die Öffentlichkeit gelangen, bevor ein Patch zur Verfügung steht.
Tavis Ormandy – Entdecker der neuen Schwachstelle, hat sich nicht an diese Spielregel gehalten, sondern stattdessen die Infos dazu nebst Beispiel-Exploit öffentlich zugänglich gemacht. Als Begründung dafür gab er an, dass er “keine Zeit habe, sich mit dummem Microsoft-Code zu beschäftigen.”
Erst ein paar Tage, bevor er die Schwachstelle entdeckte, hatte Ormandy sich darüber beschwert, wie ‘feindselig’ Microsoft mit Sicherheitsexperten wie ihm umgehen würde.

Gegenwind erhält er dafür nicht nur von Microsoft, auch Sophos-Mitarbeiter Graham Cluley äußert sich gegenüber TheVerge, dass das Sicherheitsteam von Microsoft einen guten Job mache – und das es ratsam wäre, mit Microsoft zusammenzuarbeiten, als Hacker beim Ausnutzen von Schwachstellen zu unterstützen.

Glücklicherweise handelt es sich in diesem Fall nicht um eine hoch kritische Lücke – um sie auszunutzen, muss der Angreifer lokal angemeldet sein, trotzdem: Wenn die Sicherheit von Kunden aufs Spiel gesetzt wird, nur um den Konkurrenten eins auszuwischen, hört der Spaß endgültig auf.

Microsoft untersucht den Fall bereits – ob es einen außerplanmäßigen Patch geben wird oder ob man bis zum nächsten Patchday wartet, bleibt abzuwarten.