Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

DSAG-Technologietage 2018
20.02.18 - 21.02.18
In Stuttgart

Sourcing von Application Management Services
21.02.18 - 21.02.18
In Frankfurt

Next Generation SharePoint
22.02.18 - 22.02.18
In München

Googles Project Zero hat es sich zur Aufgabe gemacht, Sicherheitslücken in weit verbreiteten Programmen und Betriebssystemen aufzuspüren und bekannt zu machen. 

Haben die Sicherheitsexperten einen neuen sogenannten Zero-Day-Exploit entdeckt, wird das entsprechende Unternehmen über die Lücke in seiner Software informiert und hat anschließend 90 Tage Zeit, sie über ein Update zu schließen. Diese Schonfrist ist auch durchaus sinnvoll. Immerhin ist es nicht Ziel des Projekts, kriminellen Hackern neue Angriffsmöglichkeiten zu zeigen, sondern die allgemeine Sicherheit im Netz zu verbessern.

Allerdings hat diese Praxis auch ihre Tücken, wie in den vergangenen Wochen gleich zweimal deutlich geworden ist. Mitte Februar veröffentliche Project Zero eine bislang unbekannte Sicherheitslücke im Betriebssystem von Microsoft. Genau 90 Tage zuvor hatten Googles Sicherheitstechniker das Unternehmen aus Redmond darüber informiert, ein Update mit einem entsprechenden Patch war aber noch nicht ausgeliefert worden. Das sorgte verständlicherweise nicht nur beim Hersteller, sondern auch bei den Nutzern für Unmut, denn ab dem Zeitpunkt der Veröffentlichung konnten Kriminelle die Erkenntnisse von Project Zero für ihre Zwecke ausnutzen. Trotzdem: Google hielt an seiner 90-Tage-Regel fest und veröffentlichte Anfang dieser Woche erneut eine bislang nicht geschlossene Sicherheitslücke, diesmal in Microsofts Browsern Internet Explorer und Edge.

Damit sind aktuell gleich zwei gravierende Sicherheitslücken bei Microsoft bekannt. Im ersten Fall können Kriminelle durch einen Fehler bei der Speicherverarbeitung während des Öffnens von Windows Metafiles Speicher auslesen, im zweiten Fall können CSS und JavaScript dazu genutzt werden, beliebigen Code auf dem angegriffenen Rechner auszuführen. Dazu muss der Nutzer lediglich auf eine infizierte Webseite gelockt oder zur Ausführung des Scripts im Browser gebracht werden. Für beide Probleme wurde bislang keine Lösung geliefert.

Bereits 2015 hatte Microsoft die strikte 90-Tage-Regel scharf kritisiert, als Project Zero eine damals noch neue Lücke bekannt gab, bevor es ein passendes Patch gab. Warum Microsoft aus dieser Erfahrung nicht gelernt und die beiden Sicherheitslecks rechtzeitig geschlossen hat, ist nicht bekannt. Ein Zusammenhang mit dem verschobenen Patchday im Februar lässt sich nur vermuten. Es bleibt also zu hoffen, dass der nächste Patchday im März beide Lücken schließt.

www.8com.de
 

GRID LIST
Tb W190 H80 Crop Int 8819e621c09c647c68a8b053b3f5db90

Bitkom warnt Obersten Gerichtshof der USA vor Zugriff auf Daten in Europa

Der Oberste Gerichtshof der Vereinigten Staaten steht vor einem wegweisenden Urteil, mit…
Tb W190 H80 Crop Int 43a145c64e12f8f10d9638cec0b8af19

Scopevisio und eurodata bündeln ihre Kräfte

Auf dem Cloud Unternehmertag in Bonn haben die Scopevisio AG, Bonn, und die eurodata AG,…
Tb W190 H80 Crop Int D1e530273d13a7b939633f545b817271

Hyland erweitert sein internationales Führungsteam

Bob Dunn übernimmt die Position des Associate Vice President EMEA & APAC bei Hyland. Der…
Tb W190 H80 Crop Int D33ced82edbd2359aa1922d2f63a6179

TeamViewer veröffentlicht dedizierte IoT-Lösung

TeamViewer hat die Veröffentlichung von TeamViewer IoT angekündigt. Das neue Produkt…
Tb W190 H80 Crop Int 680190fe7fca4d3e8efbfe163d335a43

Dridex-Trojaner greift erneut an

Forcepoint Security Labs haben eine neue Variante des Dridex-Banking-Trojaner aufgedeckt.…
Tb W190 H80 Crop Int 0d92b7fd13f7f3ed467863088fea28e1

lijana Vavan ist neue Managing Director Europa bei Kaspersky Lab

lijana Vavan übernimmt bei Kaspersky Lab die Position des Managing Director für Europa.…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security