Microsoft hat den Google-Ingenieur Tavis Ormandy kritisiert, der gestern vor einer neuen Zero-Day-Lücke in Windows gewarnt hat. Sein Vorgehen verstoße gegen die Regeln für einen verantwortlichen Umgang mit Schwachstellen, wie sie auch Google vertrete, so der Softwareanbieter.
Ormandy hatte nach eigenen Angaben Microsoft am 5. Juni über eine von ihm entdeckte Sicherheitslücke in Windows informiert. Details zu der Anfälligkeit sowie Beispielcode für einen Exploit veröffentlichte er nur fünf Tage später auf der Mailing-Liste Full Disclosure. „Ich möchte darauf hinweisen, dass man mich nicht ernst genommen hätte, wenn ich die Schwachstelle ohne einen funktionierenden Exploit veröffentlicht hätte“, heißt es darin.
„Ein Grund, warum wir und viele andere in der Branche für einen verantwortlichen Umgang mit Schwachstellen eintreten, ist, dass der Anbieter der Software die besten Möglichkeiten hat, die Ursache vollständig zu verstehen“, schreibt Mike Reavey, Chef des Microsoft Security Response Center, in einem Blogeintrag. „Obwohl Ormandys Entdeckung grundsätzlich wichtig ist, hat sich herausgestellt, dass seine Analyse unvollständig ist und der von ihm vorgeschlagene Workaround leicht umgangen werden kann.“ In einigen Fällen werde für ein umfassendes Update, das funktioniere und keine Qualitätsprobleme verursache, mehr Zeit gebraucht.
Nach Ansicht des Sicherheitsforschers Robert Hansen sei es unvernünftig gewesen, anzunehmen, Microsoft könne so kurzer Zeit einen Patch entwickeln. „Google war in der Vergangenheit einer der lautesten Befürworter eines verantwortlichen Umgangs mit Schwachstellen. Und es scheint, als habe Tavis nicht allein gehandelt – er nennt andere Sicherheitsforscher bei Google als Helfer“, schreibt Hansen in Kasperskys ThreatPost-Blog. Google scheine mit dem Vorgehen Ormandys einverstanden gewesen zu sein. „Diese Scheinheiligkeit ist unglaublich.“
Ein Google-Sprecher erklärte, Ormandy habe eigenmächtig gehandelt und dafür eigene Forschungen verwendet, die er in seiner Freizeit angestellt habe. „Tavis persönliche Ansichten zur Veröffentlichung von Schwachstellen müssen nicht unbedingt die Meinungen seiner Kollegen oder Googles als Ganzes wiedergeben.“ Ob Ormandys Verhalten gegen Googles Geschäftspolitik verstoße, wollte der Sprecher nicht kommentieren.
Laut einer Sicherheitswarnung von Microsoft ermöglicht es die Schwachstelle, einen White-List-Filter zu umgehen, wodurch ein Angreifer die Kontrolle über einen Computer mit Windows XP oder Windows Server 2003 übernehmen kann. Dafür sei es nur notwendig, einen Anwender auf eine manipulierte Website zu locken. Microsoft hält Angriffe auf die Zero-Day-Lücke für wahrscheinlich. Nutzer von Windows 2000, Vista, Server 2008, 7 und Server 2008 R2 sind nicht betroffen.
ZDNet.de steht nun auch in einer für mobile Geräte optimierten Version zur Verfügung. Unter m.zdnet.de finden Sie Nachrichten, Blogs und Testberichte.
Sie decken die Identität des Kopfs der Gruppe auf. Britische Behörden fahnden mit einem Foto…
Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…
Davon entfällt ein Viertel auf staatliche Einrichtungen und 12 Prozent auf Industrieunternehmen.
Forscher umgehen die Verschlüsselung und erhalten Zugriff auf VPN-Datenverkehr im Klartext. Für ihren Angriff benötigen…
Weitere 40 Prozent der Deutschen erledigen ihre Geldgeschäfte überwiegend online und gehen nur noch selten…
Zwei Schwachstellen in Chrome gehören nun der Vergangenheit an. Von ihnen geht ein hohes Risiko…