Microsoft kritisiert Google wegen öffentlich gemachter Sicherheitslücke in Windows

An Silvester hatte ein Google-Sicherheitsexperte eine Sicherheitslücke in Windows 8.1 öffentlich gemacht und sogar einen Beispiel-Exploit mitgeliefert. Als Begründung für die Aktion wurde angeführt, dass Microsoft binnen 90 Tagen nicht auf die Meldung reagiert und auch keinen Patch bereitgestellt habe. Nun wehrt sich Microsoft in einer ausführlichen Stellungnahme und behauptet, Google sei der öffentliche Tritt vor das Redmonder Schienbein wichtiger gewesen als die Sicherheit der Nutzer.

Nach Microsofts Darstellung habe man Google mitgeteilt, dass ein Patch für diese Lücke am 13. Januar (dem regulären Patchday) veröffentlicht werde. Und man habe darum gebeten, die Informationen noch so lange zurück zu halten, um die Sicherheit der Nutzer nicht unnötig zu gefährden. Trotzdem habe Google kurz darauf den Exploit öffentlich zugänglich gemacht.

Wenn das so zutreffend sein sollte, kann man die Verärgerung bei Microsoft nachvollziehen. Auch der Vorwurf, Google habe Microsoft hier eins auswischen wollen und dafür billigend in Kauf genommen, dass die Windows-Nutzer gefährdet werden, wäre dann berechtigt. Aber man muss natürlich im Hinterkopf behalten, dass jede Seite eine Geschichte immer so erzählt, dass der schwarze Peter beim Anderen liegt.

Grundsätzlich äußert sich Microsoft kritisch zu der Praxis, Sicherheitslücken öffentlich zu machen. Manche Leute glauben, dass eine veröffentlichte Schwachstelle dazu beitrage, dass der betroffene Hersteller schneller reagiert, schreibt Chris Betz, Senior Director für den Bereich Trustworthy Computing.

Microsoft aber sieht das anders: Die Veröffentlichung setzt den Hersteller nur unnötig unter Druck und gefährdet die allgemeine Sicherheit. Um einen wirklich sauberen Patch zu entwickeln, muss die Schwachstelle genauestens untersucht werden, und das braucht eben hin und wieder seine Zeit.

Die Erfahrung zeige, dass man diese Zeit auch tatsächlich hat, denn in der Praxis käme es nur ganz selten zu Angriffen auf ungepatchte Sicherheitslücken, so lange die Informationen nicht öffentlich verfügbar sind.

Die Stellungnahme schließt mit der Feststellung, dass keine Software perfekt ist, weil sie von Menschen gemacht wird. Microsoft sei sich seiner Verantwortung bewusst und werde auch in Zukunft alles dafür tun, seine Produkte so sicher wie möglich zu machen.
Und wenn ein Hersteller bei einem Wettbewerber eine Schwachstelle entdeckt, dann sollte man gemeinsam und nicht gegeneinander an einer Lösung arbeiten. Den letzten Satz kann man natürlich nur unterschreiben, egal wer gerade auf welcher Seite sitzt.

Update:
Microsofts Verärgerung bezieht sich wohl nicht auf die an Silvester veröffentlichte Sicherheitslücke, sondern auf eine neue, die Google jetzt veröffentlicht hat. Ich wollte jetzt aber nicht den ganzen Beitrag umarbeiten, vom Grundsatz her ist es ja ohnehin das Selbe.