Nach Patchday-Absage: Google veröffentlicht Details über Windows-Schwachstelle

Den Februar-Patchday, der eigentlich für diese Woche geplant war, hat Microsoft erst verschoben und dann ersatzlos gestrichen. Die Sicherheitsupdates, die eigentlich hätten veröffentlicht werden sollen, werden nun mit dem nächsten regulären Patchday am 14. März ausgerollt. Wie hoch die damit verbundenen Risiken sind, lässt sich schwer abschätzen, ohne Details über die Schwachstellen zu kennen, die man eigentlich schließen wollte. Aber schön ist das natürlich nicht. Ebenfalls unschön ist, dass Google just zu diesem Zeitpunkt mit Details zu einer Windows-Schwachstelle an die Öffentlichkeit geht.

Der öffentlich gemachte Bug beschreibt einen Fehler in der Grafik-Schnittstellendatei gdi32.dll, welche das Ausspähen von Informationen aus dem Arbeitsspeicher ermöglicht. Potenziell angreifbar sind alle Programme, die auf diese Bibliothek zugreifen. Über die Schwere der möglichen Auswirkungen wird nichts berichtet. Tatsache ist jedenfalls, dass die Sicherheitslücke nun öffentlich ist und Malware-Programmierer untersuchen können, was sich damit anrichten lässt.

Klingt wie Material für einen schlechten Film, vor allen Dingen aufgrund des Timings. Google nutzt die Gunst der Stunde, um die Patchday-Panne bei Microsoft auszukosten, und tut das auf dem Rücken und auf Gefahr der Windows-Nutzer. Daraus ließe sich leicht eine Sensation basteln, es ist dann aber wohl nicht mehr als „Business as usual“. Google hat den Fehler im November 2016 an Microsoft gemeldet und die 90-Tage-Frist, nach der man solche Bugs öfenntlich macht, ist zufällig zu diesem ungünstigen Zeitpunkt abgelaufen. Es ist nicht einmal bekannt, ob für genau diese Lücke tatsächlich auch ein Patch geplant war.

Über den Autor
Martin Geuß
  • Martin Geuß auf Facebook
  • Martin Geuß auf Twitter
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als zwölf Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.



Kommentare
  1. Immerhin hatte Microsoft ja doch drei Monate Zeit, um das von Google gemeldete Problem zu beheben. Ob nun Google gerade die Instanz ist, die dazu berufen ist, Sicherheitslücken beim Konkurrenten Microsoft zu monieren, mag dahinstehen, aber es ist auch keine Art und Weise, solche Sicherheitslücken monatelang ungeschlossen stehen zu lassen. Selbst Schuld hat Microsoft, wenn sie sich nicht darum kümmern. Und einen Patchday komplett ausfallen zu lassen, ist schon deftig.
    das "Problem" ist kein neues Phänomen, war schon länger möglich den Grafikspeicher (nicht den Arbeitsspeicher) auszulesen und damit zu rekonstruieren was dargestellt wurde; vermutlich nicht über dieselbe Bibliothek wie bei diesem Fall hier aber ändert am der Grundthematik nichts. Über Funktionen der Grafiktreiber lässt sich Schadcode einschleusen weil die tiefen Systemzugriff haben, das ist aber nicht das Problem von MS in erster Linie sondern von den Treiberherstellern, die einige Operationen ausgliedern müssen damit die nicht ausgenutzt werden können
    Google machts halt wie in der Politik. Um über Misstände im Innland hinwegzutäuschen, verlagert man den Fokus auf Ausland.
    Bin auch nicht gerade Googles bester Freund. Aber da kann man als Microsoft-Fan noch so auf Google schimpfen, immerhin haben die dortigen Mitarbeiter offenbar die Fachkompetenz, Mängel in Microsofts Windows aufzudecken und zu monieren. Würde mir an Microsofts Stelle keine Ruhe mehr lassen, so vorgeführt zu werden ...
    Oh Mann, macht mal halblang! Im Dezember und Januar gab es jeweils Updates. Wer sagt denn, dass die Schwachstelle nicht schon lange gefixt ist??????
    Das müsste doch rauszubekommen sein!
    Will Google damit wieder mal seine Unfähigkeit bei Android überdecken?, um MS damit zu schaden und natürlich auch den Nutzern, die ja im weitesten Sinne mit runtergelassenen Hosen dastehen.
    Ich finde das schon schäbig, das ein so großer Konzern sowas nötig hat. Miteinander reden wäre da wohl besser gewesen, denn letztendlich schadet man sich mit solchen Aktionen auch wenn die Leute darauf richtig reagieren würden.
    Google hat den Fehler im November 2016 an Microsoft gemeldet und die 90-Tage-Frist, nach der man solche Bugs öfenntlich macht, ist zufällig zu diesem ungünstigen Zeitpunkt abgelaufen. Es ist nicht einmal bekannt, ob für genau diese Lücke tatsächlich auch ein Patch geplant war.

    Ich finde das schon schäbig, das ein so großer Konzern sowas nötig hat. Miteinander reden wäre da wohl besser gewesen, denn letztendlich schadet man sich mit solchen Aktionen auch wenn die Leute darauf richtig reagieren würden.

    Und meine Beiträge werden immer wegen Sarkasmus gelöscht aber wie soll man auf sowas reagieren?
    Ingo12
    Will Google damit wieder mal seine Unfähigkeit bei Android überdecken?, um MS damit zu schaden und natürlich auch den Nutzern, die ja im weitesten Sinne mit runtergelassenen Hosen dastehen.
    Ich finde das schon schäbig, das ein so großer Konzern sowas nötig hat. Miteinander reden wäre da wohl besser gewesen, denn letztendlich schadet man sich mit solchen Aktionen auch wenn die Leute darauf richtig reagieren würden.

    MS ist hier der Konzern der nicht in die pötte kommt um seine Nutzer zu schützen...Google hat ja kein Exklusivrecht auf so eine Sicherheitslücke und wenn MS es in 3 Monaten nicht shcafft das zu fixen machen sie definitiv was falsch
    Woher nehmt ihr das Wissen, das die Lücke noch nicht gepatcht ist?
    Ich stimme da ExMicrosoftie voll zu, das es doch auch schon erledigt sein kann.
    90 Tage bis zur Veröffentlichung halte ich für ausreichend. Ob der Bug jedoch überhaupt Windows 10 und Edge betrifft, kann ich nicht erkennen, scheint eher nicht so. Und wer mit etwas älterem arbeitet, d. h. die kostenlosen Upgrades nicht mitgemacht hat, ist selber schuld. Übrigens konnte man früher auch XP und Vista quasi für lau (29 €) auf Windows 7 upgraden. Und das gute alte Windows 10 geht schon bald in sein drittes Jahr!
    Dem ist wohl so. Aber ein Angreifer benötigte physikalischen (!) Zugriff auf deinen Computer. In dem Fall hättest du wohl noch ganz andere Probleme... .-)
    https://mspoweruser.com/googles-project-zero-security-researchers-drop-another-bomb-microsoft/
    Wenn man sich den "Krieg" ansieht (Schauplatz sind die Unis), den sich momentan Google und MS in den USA liefern, kann man nur froh sein, das Google noch so locker bleibt. Ich kann mir lebhaft vorstellen, was MS in den 90ern gemacht hätte, wo alles nieder gemacht wurde, was nur nach Konkurrenz aussieht.
    Und wenn Windows mehr Lücken hätte als Android. Die größte Sicherheitslücke der Welt, die keiner schließen will und scheinbar alle haben wollen, heißt GOOGLE.
    Ich verstehe nicht, warum sich hier so viele über Google ereifern. Das Google kostenlos Security reviews für Microsoft macht und Lücken verantwortungsvoll meldet und eine 90 Tage frist gibt ist doch vollkommen o.k.?
    Mir ist es lieber das passiert so, als wenn zero-day exploits irgendwo verkauft werden.
    Google betreibt ja selbst auch tausende von Windows Maschinen, das ist im eigenen Interesse und nicht um Microsoft anzuschwärzen. Eine gewisse Schadenfreude ist da sicher dabei, aber die sei ihnen dann einfach mal gegönnt, wir profitieren da alle von!
    Mehr Kontext gibt's hier (übrigens auch Android und Chrome Sicherheitslücken)
    https://googleprojectzero.blogspot.com
    Wenn Sicherheitslücken aufgedeckt werden ist das ja erstmal ganz gut. Das jedoch grad Google so bei ist, bei der Konkurrenz danach zu suchen ist schon ein wenig lachhaft. Sollen nebenher mal ihre eigenen Lücken schließen. Was die 90 Tage frist angeht, hat Google schon einmal gezeigt dass sie es mit dieser manchmal nicht so genau nehmen. Gab es glaub auch hier einen Artikel darüber. Ob das ganze nicht vieleicht schon gefixt ist weiss auch keiner, stand jetzt. Wenn dem ganzen aber so sei, dann hat Microsoft bockmist gebaut. Jedoch würde ich auch Google unterstellen wollen, dass sie gezielte Zeitpunkte für solche Meldungen abwarten und gewisse fristen mit Absicht vernachlässigen. Warum? Wer weiß... Vieleicht weil sie in Microsofts Ambitionen etwas mehr sehen als wir es vielleicht teils tun. Bzw. sie endlich mal merken das ihr jedes Jahr neu aufgekochte Android am ende kein fortschritt ist.
    Oh ja Google mein Android bekommt schon seit 3 Jahren kein Update. Also ich finde Googles angeschwärze eine Unverschämtheit die sollen sich mal von MS eine scheibe abschneiden und mal selber Patchdays einführen. Mal schauen wie viel Google verpennen wird!
    Was mich sehr interessieren würde: Nutzt hier evtl. jemand ein Chromebook bzw. Chromebox von Google? Falls ja, wie verhält es sich dort mit Sicherheits- und Funktionsupdates?
    PS: Meiner Meinung nach gehört es verboten, Schwachstellen zu veröffentlichen und somit potenzielle Hacker zu supporten....
    Wie heißt es so schön: Wer im Glashaus sitzt, soll nicht mit Steinen werfen!", oder anderst: " kehr erst einmal deine Dreck vor der Haustür" ich weis, warum ich Google meide, wo ich nur kann. Google ist wie" Ich fahre in den Urlaub und lass die Haustür ganz offen und henge unten ein schuld auf, das ich im Urlaub bin" p.s. Die tools zum eindringen in Android und Chrome lassen sich super uber Google Search suchen und downloaden. ?
    Immerhin hatte Microsoft ja doch drei Monate Zeit, um das von Google gemeldete Problem zu beheben. Ob nun Google gerade die Instanz ist, die dazu berufen ist, Sicherheitslücken beim Konkurrenten Microsoft zu monieren, mag dahinstehen, aber es ist auch keine Art und Weise, solche Sicherheitslücken monatelang ungeschlossen stehen zu lassen. Selbst Schuld hat Microsoft, wenn sie sich nicht darum kümmern. Und einen Patchday komplett ausfallen zu lassen, ist schon deftig.

    Microsoft hat den Patchday mit Sicherheit nicht leichtfertig ausfallen lassen. Die Gründe dafür müssen massiv gewesen sein.
    Google hat schon mal stur die 90Tage eingehalten, obwohl Microsoft den fix fertig hatte und er am nächsten pazchday veröffentlicht werden sollte, das hat Google in keinster Weise interessiert! Ein Schelm wer böses dabei denkt.
    Will Google damit wieder mal seine Unfähigkeit bei Android überdecken?, um MS damit zu schaden und natürlich auch den Nutzern, die ja im weitesten Sinne mit runtergelassenen Hosen dastehen.
    Ich finde das schon schäbig, das ein so großer Konzern sowas nötig hat. Miteinander reden wäre da wohl besser gewesen, denn letztendlich schadet man sich mit solchen Aktionen auch wenn die Leute darauf richtig reagieren würden.

    Das interessiert Google nicht, denn die Geschädigten sind ja Windowsnutzer, die sollen sich ein Android Tablet oder ChromeBook anschaffen, dann haben sie keine Probleme mehr mit Sicherheitslücken im Windows.
    Oh, mist Android hatte letzes Jahr mehr als Windows, naja das ist ja egal.
    Ingo12
    Will Google damit wieder mal seine Unfähigkeit bei Android überdecken?, um MS damit zu schaden und natürlich auch den Nutzern, die ja im weitesten Sinne mit runtergelassenen Hosen dastehen.
    Ich finde das schon schäbig, das ein so großer Konzern sowas nötig hat. Miteinander reden wäre da wohl besser gewesen, denn letztendlich schadet man sich mit solchen Aktionen auch wenn die Leute darauf richtig reagieren würden.

    Darum geht es nicht.
    Die Lücke um die es hier geht ist ein Jahr alt und genausolange auch MS bekannt. Die Lücke gehört
    sicherlich auch zu der Sorte mit der man nur konfrontiert wird, wenn bei Vollmond der Werwolf dreimal
    heult.Ist also nur sehr konstruierter Natur,mit der man im "richtigen Leben" wohl kaum konfrontiert wird.
    Genau wie bei Android aiuch...
    Aber der Umstand alleine, dass MS trotzdem ein ganzes Jahr lang nicht darauf reagiert,lässt eben auch
    vermuten, dass MS bei richtig gefährlichen Lücken nicht viel anders reagiert.Und weil das nicht zum
    ersten mal passiert, ist da IMO ein sehr grundsätzliches Qualitätssicherungsproblem bei MS vorhanden.
    Und das dürfte nach all den Update-Pannen der letzten Zeit niemanden wirklich
    überraschen....und das ist der Knackpunkt bei der Sache
    Was passiert eigentlich, wenn Microsoft die Frist von 90 Tage nicht einhält? Gehen dann alle Server von Microsoft kaputt oder nimmt die Dona zur Strafe 90 Kilo zu? Das würde mich sehr interessieren, da mir die Geschichte zu sehr künstlich aufgeblasen vorkommt.
    Die Hersteller des unsichersten Betriebssystems spielen sich zum Anwalt der User in Sachen Sicherheit auf. Ist extrem lächerlich. Das ist so, als ob ein Serienvergewaltiger einen Falschparker anzeigt. Die "Fachpresse" unterstützt ihn dabei und lobt ihn. Großartig. Manchmal frage ich mich was in deren Köpfen falsch läuft.
    07:18 @Artemisos: Verstehe, deshalb melden sich u.a. im Dr. Windows Forum täglich so viele Leute mit diesbezüglichen Problemen.
    Microsoft und Kommunikation wird nie zusammen passen, ok. Aber der Rest ist aufgeblasene...
    10:[email protected]: Genau das, was gerade passiert, heiße Luft, wenn's wer nötig hat 'ne Schlagzeile und alsbald Ruhe.
    10:[email protected] Diktator: Schönes Bild (kommt aber natürlich darauf an wo man parkt...)
    Der Punkt mit dem falsch Laufen, der ist schon lange passiert und wird sich ohne "Zerschlagung" der Alphabet Inc. auch nicht mehr rückgängig machen lassen. Die sind auf der einen Seite schlicht und ergreifend leider alle finanziell abhängig. Auf der anderen Seite können sie sich mit ihrem schlechten Gewissen an Microsoft abarbeiten, weil sie eigentlich "alle" Anti-Kapitalisten sind.
    @weltleser: Ja, da hast Du vermutlich recht. Ich frage mich nur, warum MS nicht mal Geld in die Hand nimmt um Google/Alphabet da entgegenzutreten. Leider halten mich jetzt alle für einen Fanboy von MS, der einfach nur flaming betreibt. Daß ich mittlerweile MS Fan bin ist zwar wahr... aber mehr das Ergebnis von Ausflügen und Ausflugsversuchen in die Welten von Linux, Android, OS X und Playstation. Die Dinge liegen auch völlig anders bei Google als bei Apple, Anbietern von Linux Distris oder Sony. Die anderen mag ich einfach nur nicht. Ich habe kein grundsätzliches Problem damit, wenn andere das mögen. Google allerdings sehe ich als Vorstufe zu Skynet... eine echte Gefahr für die Menschen. Abgesehen von Sicherheits- und Datenschutzbedenken kommen noch KI- und Kriegsroboterentwicklung hinzu... Ich verbinde die Punkte und sehe für die Zukunft KI-gesteuerte Kriegsroboter, die Zugriff auf die meisten Daten der meisten Menschen im Internet haben, inklusive Bewegungsdaten. Und die Menschen können sich dank Android, das sie nutzen, in keinster weise dagegen wehren. Die KI allerdings wird immer mehr Rechenpower bekommen. Das Szenario beinhaltet jetzt nicht unbedingt, daß die KI die Menschheit auslöschen will wie in Terminator, sondern daß sich eine kleine Gruppe von Finanzoligarchen mit ihren Funktionseliten die KI zu diensten machen werden. Der zeitliche und technologische Vorsprung vor evtl Gegnern wächst mit jeder Minute Google Dominanz, mit jedem Prozent Marktanteil bei Mobiltelefonen und Suchmaschinen...
    @weltleser: Ja, da hast Du vermutlich recht. Ich frage mich nur, warum MS nicht mal Geld in die Hand nimmt um Google/Alphabet da entgegenzutreten. Leider halten mich jetzt alle für einen Fanboy von MS, der einfach nur flaming betreibt. Daß ich mittlerweile MS Fan bin ist zwar wahr... aber mehr das Ergebnis von Ausflügen und Ausflugsversuchen in die Welten von Linux, Android, OS X und Playstation. Die Dinge liegen auch völlig anders bei Google als bei Apple, Anbietern von Linux Distris oder Sony. Die anderen mag ich einfach nur nicht. Ich habe kein grundsätzliches Problem damit, wenn andere das mögen. Google allerdings sehe ich als Vorstufe zu Skynet... eine echte Gefahr für die Menschen. Abgesehen von Sicherheits- und Datenschutzbedenken kommen noch KI- und Kriegsroboterentwicklung hinzu... Ich verbinde die Punkte und sehe für die Zukunft KI-gesteuerte Kriegsroboter, die Zugriff auf die meisten Daten der meisten Menschen im Internet haben, inklusive Bewegungsdaten. Und die Menschen können sich dank Android, das sie nutzen, in keinster weise dagegen wehren. Die KI allerdings wird immer mehr Rechenpower bekommen. Das Szenario beinhaltet jetzt nicht unbedingt, daß die KI die Menschheit auslöschen will wie in Terminator, sondern daß sich eine kleine Gruppe von Finanzoligarchen mit ihren Funktionseliten die KI zu diensten machen werden. Der zeitliche und technologische Vorsprung vor evtl Gegnern wächst mit jeder Minute Google Dominanz, mit jedem Prozent Marktanteil bei Mobiltelefonen und Suchmaschinen...

    Ok das find ich ein wenig weit hergeholt, dass hier nur Google Daten sammelt und die Skynetgefahr ist. Meine Cortana kennt mich mittlerweile auch ganz gut und siri kennt seine jeweiligen Apple Nutzer glaub auch ganz gut. Daten sammeln alle. Jedoch bin ich bei dir, dass Google hier die wenigsten Skrupel hat die Daten gewinnbringend an den Mann zu bringen.
    Eventuell blauäugig, für mich der Weg Richtung Gesinnungsdiktatur eher gegeben, als "der Krieg der Sterne", zumal der Drohnenkrieger in Rente ist (keine Sympathiebekundung für andere).
    Zur anderen Frage, mit Geld und gutem Willen ist dem Werbe-Spinnennetz nicht beizukommen. Die Leute wollen keine Abos, die Zeitschriften wollen überleben und nun...
    Ob die einen oder anderen besser sind, mal dahingestellt. Hab bei meinen Leuten Bing als Startseite angelegt, was machen die Leute, die Suchen nach Google:hauklotz
    @ Eike
    Besser wäre es miteinander zu reden und nicht auf kosten der User für sich Werbung zu machen :mad:. Wenn die sogenannten "Sicherheitsexperten" von "Google" so schlau sind Sicherheitslücken zu entdecken könnten sie ja vielleicht gleich Tipps an MS mitliefern wie sowas zu beheben ist.
    Sie können aber nicht mal die "Sicherheitslücke" Android oder Chrom richtig absichern.
    CSTRSK
    Oh ja Google mein Android bekommt schon seit 3 Jahren kein Update.

    Hast Du Dein Gerät von Google gekauft (eher wohl nicht, da Google selbst bis vor kurzem keine hergestellt hat), mit einem unmodifizierten Android - oder ist der Hersteller Deines Geräts oder derjenige, der seine eigene modifizierte Android Version aufgespielt hat (wie so viele andere) dafür verantwortlich?
    Ist es möglich, einfach ein normales aktuelles Android aufzuspielen?
    Ohne diese Fragen zu klären, ist eine solche Aussage - mild ausgedrückt - wertlos.
    Zum melden der Lücken:
    Das ist Standard. Google meldet Lücken an Microsoft, Apple oder sonstwen und umgekehrt, denn alle profitieren von einem Netz, welches frei von gehackten Geräten ist.
    Ansonsten kann niemand behaupten, dass Google in diesem speziellen Fall irgendetwas ungewöhnliches gemacht hätte, denn die Regeln sind ganz eindeutig:
    Die Lücke wird gemeldet und 90 Tage unter Verschluss gehalten. Danach wird veröffentlicht.
    Ich persönlich vermute sogar, dass die Veröffentlichung nach 90 Tagen vollautomatisch passiert.
Nach oben