Anzeige

Anzeige

VERANSTALTUNGEN

Software Quality Days 2019
15.01.19 - 18.01.19
In Wien

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

Anzeige

Anzeige

Anzeige

Googles Project Zero hat es sich zur Aufgabe gemacht, Sicherheitslücken in weit verbreiteten Programmen und Betriebssystemen aufzuspüren und bekannt zu machen. 

Haben die Sicherheitsexperten einen neuen sogenannten Zero-Day-Exploit entdeckt, wird das entsprechende Unternehmen über die Lücke in seiner Software informiert und hat anschließend 90 Tage Zeit, sie über ein Update zu schließen. Diese Schonfrist ist auch durchaus sinnvoll. Immerhin ist es nicht Ziel des Projekts, kriminellen Hackern neue Angriffsmöglichkeiten zu zeigen, sondern die allgemeine Sicherheit im Netz zu verbessern.

Allerdings hat diese Praxis auch ihre Tücken, wie in den vergangenen Wochen gleich zweimal deutlich geworden ist. Mitte Februar veröffentliche Project Zero eine bislang unbekannte Sicherheitslücke im Betriebssystem von Microsoft. Genau 90 Tage zuvor hatten Googles Sicherheitstechniker das Unternehmen aus Redmond darüber informiert, ein Update mit einem entsprechenden Patch war aber noch nicht ausgeliefert worden. Das sorgte verständlicherweise nicht nur beim Hersteller, sondern auch bei den Nutzern für Unmut, denn ab dem Zeitpunkt der Veröffentlichung konnten Kriminelle die Erkenntnisse von Project Zero für ihre Zwecke ausnutzen. Trotzdem: Google hielt an seiner 90-Tage-Regel fest und veröffentlichte Anfang dieser Woche erneut eine bislang nicht geschlossene Sicherheitslücke, diesmal in Microsofts Browsern Internet Explorer und Edge.

Damit sind aktuell gleich zwei gravierende Sicherheitslücken bei Microsoft bekannt. Im ersten Fall können Kriminelle durch einen Fehler bei der Speicherverarbeitung während des Öffnens von Windows Metafiles Speicher auslesen, im zweiten Fall können CSS und JavaScript dazu genutzt werden, beliebigen Code auf dem angegriffenen Rechner auszuführen. Dazu muss der Nutzer lediglich auf eine infizierte Webseite gelockt oder zur Ausführung des Scripts im Browser gebracht werden. Für beide Probleme wurde bislang keine Lösung geliefert.

Bereits 2015 hatte Microsoft die strikte 90-Tage-Regel scharf kritisiert, als Project Zero eine damals noch neue Lücke bekannt gab, bevor es ein passendes Patch gab. Warum Microsoft aus dieser Erfahrung nicht gelernt und die beiden Sicherheitslecks rechtzeitig geschlossen hat, ist nicht bekannt. Ein Zusammenhang mit dem verschobenen Patchday im Februar lässt sich nur vermuten. Es bleibt also zu hoffen, dass der nächste Patchday im März beide Lücken schließt.

www.8com.de
 

GRID LIST
Mobile Payment

Bezahlen mit dem Smartphone in Deutschland

Die Mehrheit der Bundesbürger erwartet einen Durchbruch für das elektronische Bezahlen in…
KI

Künstliche Intelligenz, Chance oder Riskio?

62 Prozent der TeilnehmerInnen einer aktuellem Bitkom Research-Umfrage sehen Künstliche…
Kooperation

Symantec und Fortinet kooperieren

Symantec und Fortinet kooperieren, um Unternehmen umfassende und robuste…
PayPal

Bankraub 3.0: Android-Trojaner räumt PayPal-Konten leer

Experten des IT-Security Herstellers ESET haben einen neuen Android-Trojaner enttarnt,…
Tb W190 H80 Crop Int 0b3806b7ef9581da26ebc92f1f792409

Bitkom hält EU-Urheberrichtlinie für nicht entscheidungsreif

Die Verhandlungen über eine neue EU-Urheberrechtsrichtlinie stehen vor dem Abschluss. Zum…
Apple Pay

Hier kann mit Apple Pay bezahlt werden

Apple Pay ist in Deutschland gestartet - eine Landingpage mit Informationen rund um den…
Smarte News aus der IT-Welt