VERANSTALTUNGEN

MCC Fachkonferenz CyberSecurity für die Energiewirtschaft
24.10.18 - 25.10.18
In Köln

Panda Security: IT Security Breakfast
26.10.18 - 26.10.18
In Spanischen Botschaft in Berlin

Transformation World 2018
07.11.18 - 08.11.18
In Print Media Academy, Heidelberg

DIGITAL FUTUREcongress
08.11.18 - 08.11.18
In Congress Center Essen

Data Driven Business Konferenz
13.11.18 - 14.11.18
In Berlin

Googles Project Zero hat es sich zur Aufgabe gemacht, Sicherheitslücken in weit verbreiteten Programmen und Betriebssystemen aufzuspüren und bekannt zu machen. 

Haben die Sicherheitsexperten einen neuen sogenannten Zero-Day-Exploit entdeckt, wird das entsprechende Unternehmen über die Lücke in seiner Software informiert und hat anschließend 90 Tage Zeit, sie über ein Update zu schließen. Diese Schonfrist ist auch durchaus sinnvoll. Immerhin ist es nicht Ziel des Projekts, kriminellen Hackern neue Angriffsmöglichkeiten zu zeigen, sondern die allgemeine Sicherheit im Netz zu verbessern.

Allerdings hat diese Praxis auch ihre Tücken, wie in den vergangenen Wochen gleich zweimal deutlich geworden ist. Mitte Februar veröffentliche Project Zero eine bislang unbekannte Sicherheitslücke im Betriebssystem von Microsoft. Genau 90 Tage zuvor hatten Googles Sicherheitstechniker das Unternehmen aus Redmond darüber informiert, ein Update mit einem entsprechenden Patch war aber noch nicht ausgeliefert worden. Das sorgte verständlicherweise nicht nur beim Hersteller, sondern auch bei den Nutzern für Unmut, denn ab dem Zeitpunkt der Veröffentlichung konnten Kriminelle die Erkenntnisse von Project Zero für ihre Zwecke ausnutzen. Trotzdem: Google hielt an seiner 90-Tage-Regel fest und veröffentlichte Anfang dieser Woche erneut eine bislang nicht geschlossene Sicherheitslücke, diesmal in Microsofts Browsern Internet Explorer und Edge.

Damit sind aktuell gleich zwei gravierende Sicherheitslücken bei Microsoft bekannt. Im ersten Fall können Kriminelle durch einen Fehler bei der Speicherverarbeitung während des Öffnens von Windows Metafiles Speicher auslesen, im zweiten Fall können CSS und JavaScript dazu genutzt werden, beliebigen Code auf dem angegriffenen Rechner auszuführen. Dazu muss der Nutzer lediglich auf eine infizierte Webseite gelockt oder zur Ausführung des Scripts im Browser gebracht werden. Für beide Probleme wurde bislang keine Lösung geliefert.

Bereits 2015 hatte Microsoft die strikte 90-Tage-Regel scharf kritisiert, als Project Zero eine damals noch neue Lücke bekannt gab, bevor es ein passendes Patch gab. Warum Microsoft aus dieser Erfahrung nicht gelernt und die beiden Sicherheitslecks rechtzeitig geschlossen hat, ist nicht bekannt. Ein Zusammenhang mit dem verschobenen Patchday im Februar lässt sich nur vermuten. Es bleibt also zu hoffen, dass der nächste Patchday im März beide Lücken schließt.

www.8com.de
 

GRID LIST
Delete App

App-Löschung schützt vor Überwachung nicht

Entwickler können mit Tools von Drittanbietern Nutzer ausfindig machen, auch wenn diese…
Blockchain

Deutschland braucht die Bundesblockchain

Die Blockchain-Technologie hat das Potenzial, die Verwaltung nachhaltig zu verändern:…
HTTPS

HTTPS-Fokus auf Googles neuer Top Level Domain .app

Der Suchmaschinenriese Google hat bekannt gegeben, dass die Top-Level-Domain (TLD) .app…
Abmahnung

DSGVO - Rechtsunsicherheit: Abmahnung durch Mitbewerber?

Nach Ansicht des Landgerichts (LG) Bonn fallen Verstöße gegen die DSGVO nicht in den…
Tb W190 H80 Crop Int F116cadcb6bc638e3f27ae053f0a85f4

Virtual Solution schließt sich der AppConfig Community an

Virtual Solution hat sich der AppConfig Community angeschlossen; damit kann das…
Hacker Security Breach

Sicherheitsvorfälle im Finanzwesen 2018 auf Rekordniveau

Die Zahl der Sicherheitsvorfälle im Finanzwesen ist 2018 auf ein Rekordniveau gestiegen.…
Smarte News aus der IT-Welt