Microsoft hat den Google-Ingenieur Tavis Ormandy kritisiert, der gestern vor einer neuen Zero-Day-Lücke in Windows gewarnt hat. Sein Vorgehen verstoße gegen die Regeln für einen verantwortlichen Umgang mit Schwachstellen, wie sie auch Google vertrete, so der Softwareanbieter.
Ormandy hatte nach eigenen Angaben Microsoft am 5. Juni über eine von ihm entdeckte Sicherheitslücke in Windows informiert. Details zu der Anfälligkeit sowie Beispielcode für einen Exploit veröffentlichte er nur fünf Tage später auf der Mailing-Liste Full Disclosure. „Ich möchte darauf hinweisen, dass man mich nicht ernst genommen hätte, wenn ich die Schwachstelle ohne einen funktionierenden Exploit veröffentlicht hätte“, heißt es darin.
„Ein Grund, warum wir und viele andere in der Branche für einen verantwortlichen Umgang mit Schwachstellen eintreten, ist, dass der Anbieter der Software die besten Möglichkeiten hat, die Ursache vollständig zu verstehen“, schreibt Mike Reavey, Chef des Microsoft Security Response Center, in einem Blogeintrag. „Obwohl Ormandys Entdeckung grundsätzlich wichtig ist, hat sich herausgestellt, dass seine Analyse unvollständig ist und der von ihm vorgeschlagene Workaround leicht umgangen werden kann.“ In einigen Fällen werde für ein umfassendes Update, das funktioniere und keine Qualitätsprobleme verursache, mehr Zeit gebraucht.
Nach Ansicht des Sicherheitsforschers Robert Hansen sei es unvernünftig gewesen, anzunehmen, Microsoft könne so kurzer Zeit einen Patch entwickeln. „Google war in der Vergangenheit einer der lautesten Befürworter eines verantwortlichen Umgangs mit Schwachstellen. Und es scheint, als habe Tavis nicht allein gehandelt – er nennt andere Sicherheitsforscher bei Google als Helfer“, schreibt Hansen in Kasperskys ThreatPost-Blog. Google scheine mit dem Vorgehen Ormandys einverstanden gewesen zu sein. „Diese Scheinheiligkeit ist unglaublich.“
Ein Google-Sprecher erklärte, Ormandy habe eigenmächtig gehandelt und dafür eigene Forschungen verwendet, die er in seiner Freizeit angestellt habe. „Tavis persönliche Ansichten zur Veröffentlichung von Schwachstellen müssen nicht unbedingt die Meinungen seiner Kollegen oder Googles als Ganzes wiedergeben.“ Ob Ormandys Verhalten gegen Googles Geschäftspolitik verstoße, wollte der Sprecher nicht kommentieren.
Laut einer Sicherheitswarnung von Microsoft ermöglicht es die Schwachstelle, einen White-List-Filter zu umgehen, wodurch ein Angreifer die Kontrolle über einen Computer mit Windows XP oder Windows Server 2003 übernehmen kann. Dafür sei es nur notwendig, einen Anwender auf eine manipulierte Website zu locken. Microsoft hält Angriffe auf die Zero-Day-Lücke für wahrscheinlich. Nutzer von Windows 2000, Vista, Server 2008, 7 und Server 2008 R2 sind nicht betroffen.
ZDNet.de steht nun auch in einer für mobile Geräte optimierten Version zur Verfügung. Unter m.zdnet.de finden Sie Nachrichten, Blogs und Testberichte.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…
Der Nettoprofi wächst um 117 Prozent. Auch beim Umsatz erzielt die Facebook-Mutter ein deutliches Plus.…
Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…
Scamio analysiert und bewertet die Gefahren und gibt Anwendern Ratschläge für den Umgang mit einer…