Neue Windows-Lücke: Microsoft kritisiert Google-Mitarbeiter

Mit der schnellen Veröffentlichung von Details und Beispielcode hat Tavis Ormandy Microsoft zufolge gegen die Regeln für einen verantwortlichen Umgang mit Schwachstellen verstoßen. Seine Analyse soll unvollständig sein. Laut Google hat Ormandy eigenmächtig gehandelt.

Microsoft hat den Google-Ingenieur Tavis Ormandy kritisiert, der gestern vor einer neuen Zero-Day-Lücke in Windows gewarnt hat. Sein Vorgehen verstoße gegen die Regeln für einen verantwortlichen Umgang mit Schwachstellen, wie sie auch Google vertrete, so der Softwareanbieter.

Ormandy hatte nach eigenen Angaben Microsoft am 5. Juni über eine von ihm entdeckte Sicherheitslücke in Windows informiert. Details zu der Anfälligkeit sowie Beispielcode für einen Exploit veröffentlichte er nur fünf Tage später auf der Mailing-Liste Full Disclosure. „Ich möchte darauf hinweisen, dass man mich nicht ernst genommen hätte, wenn ich die Schwachstelle ohne einen funktionierenden Exploit veröffentlicht hätte“, heißt es darin.

„Ein Grund, warum wir und viele andere in der Branche für einen verantwortlichen Umgang mit Schwachstellen eintreten, ist, dass der Anbieter der Software die besten Möglichkeiten hat, die Ursache vollständig zu verstehen“, schreibt Mike Reavey, Chef des Microsoft Security Response Center, in einem Blogeintrag. „Obwohl Ormandys Entdeckung grundsätzlich wichtig ist, hat sich herausgestellt, dass seine Analyse unvollständig ist und der von ihm vorgeschlagene Workaround leicht umgangen werden kann.“ In einigen Fällen werde für ein umfassendes Update, das funktioniere und keine Qualitätsprobleme verursache, mehr Zeit gebraucht.

Nach Ansicht des Sicherheitsforschers Robert Hansen sei es unvernünftig gewesen, anzunehmen, Microsoft könne so kurzer Zeit einen Patch entwickeln. „Google war in der Vergangenheit einer der lautesten Befürworter eines verantwortlichen Umgangs mit Schwachstellen. Und es scheint, als habe Tavis nicht allein gehandelt – er nennt andere Sicherheitsforscher bei Google als Helfer“, schreibt Hansen in Kasperskys ThreatPost-Blog. Google scheine mit dem Vorgehen Ormandys einverstanden gewesen zu sein. „Diese Scheinheiligkeit ist unglaublich.“

Ein Google-Sprecher erklärte, Ormandy habe eigenmächtig gehandelt und dafür eigene Forschungen verwendet, die er in seiner Freizeit angestellt habe. „Tavis persönliche Ansichten zur Veröffentlichung von Schwachstellen müssen nicht unbedingt die Meinungen seiner Kollegen oder Googles als Ganzes wiedergeben.“ Ob Ormandys Verhalten gegen Googles Geschäftspolitik verstoße, wollte der Sprecher nicht kommentieren.

Laut einer Sicherheitswarnung von Microsoft ermöglicht es die Schwachstelle, einen White-List-Filter zu umgehen, wodurch ein Angreifer die Kontrolle über einen Computer mit Windows XP oder Windows Server 2003 übernehmen kann. Dafür sei es nur notwendig, einen Anwender auf eine manipulierte Website zu locken. Microsoft hält Angriffe auf die Zero-Day-Lücke für wahrscheinlich. Nutzer von Windows 2000, Vista, Server 2008, 7 und Server 2008 R2 sind nicht betroffen.

HIGHLIGHT

ZDNet.de für mobile Geräte: m.zdnet.de

ZDNet.de steht nun auch in einer für mobile Geräte optimierten Version zur Verfügung. Unter m.zdnet.de finden Sie Nachrichten, Blogs und Testberichte.

Themenseiten: Google, Kaspersky, Microsoft, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Neue Windows-Lücke: Microsoft kritisiert Google-Mitarbeiter

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *