Microsoft gibt bekannt, dass Google Details zur Windows-Schwachstelle veröffentlicht hat, obwohl sie darum gebeten haben, sie zu verzögern

Ein von Google recherchierter Mitarbeiter fand eine ungepatchte Sicherheitslücke in Windows 8.1 und veröffentlichte den Fehler auf der Google Security Research-Seite, für den eine 90-tägige Offenlegungsfrist galt. Wenn 90 Tage ohne einen allgemein verfügbaren Patch vergehen, wird der Fehlerbericht automatisch für die Öffentlichkeit sichtbar. Mit dieser Richtlinie veröffentlichte Google die Schwachstelleninformationen im Web. Es war ein unverantwortlicher Schritt von Google, eine Schwachstelle in einem Produkt wie Windows zu veröffentlichen, das täglich von Millionen von Menschen verwendet wird.

Heute hat Microsoft bestätigt, dass sie Google gebeten haben, diesen Prozess um 2 Tage zu verschieben, bis sie ihren Fix veröffentlichen. Aber Google lehnte die Anfrage glücklich ab, ohne sich um Millionen von Nutzern Sorgen zu machen.

CVD-Philosophie und -Maßnahmen spielen sich heute ab, da ein Unternehmen – Google – Informationen über eine Schwachstelle in einem Microsoft-Produkt veröffentlicht hat, zwei Tage vor unserer geplanten Behebung unseres bekannten und koordinierten Patchday-Rhythmus, obwohl wir darum gebeten haben, dies zu vermeiden. Insbesondere haben wir Google gebeten, mit uns zusammenzuarbeiten, um Kunden zu schützen, indem Details bis Dienstag, den 13. Januar zurückgehalten werden, wenn wir eine Fehlerbehebung veröffentlichen. Obwohl die Einhaltung des von Google angekündigten Zeitplans für die Offenlegung eingehalten wird, fühlt sich die Entscheidung weniger wie Prinzipien an und eher wie ein „Gotcha“, bei dem die Kunden möglicherweise darunter leiden. Was für Google richtig ist, ist nicht immer richtig für Kunden. Wir fordern Google dringend auf, den Schutz der Kunden zu unserem gemeinsamen Hauptziel zu machen.

Microsoft ist seit langem der Meinung, dass eine koordinierte Offenlegung der richtige Ansatz ist und das Risiko für Kunden minimiert. Wir glauben, dass diejenigen, die eine Schwachstelle vollständig offenlegen, bevor eine Lösung allgemein verfügbar ist, Millionen von Menschen und den Systemen, auf die sie angewiesen sind, einen Bärendienst erweisen. Andere Unternehmen und Einzelpersonen glauben, dass eine vollständige Offenlegung notwendig ist, weil dies die Kunden dazu zwingt, sich zu verteidigen, obwohl die überwiegende Mehrheit keine Maßnahmen ergreift, da sie sich weitgehend auf einen Softwareanbieter verlassen, um ein Sicherheitsupdate herauszugeben. Selbst für diejenigen, die in der Lage sind, vorbereitende Schritte zu unternehmen, wird das Risiko erheblich erhöht, wenn Informationen öffentlich bekannt gegeben werden, die ein Cyberkrimineller verwenden könnte, um einen Angriff zu orchestrieren, und davon ausgegangen wird, dass diejenigen, die Maßnahmen ergreifen würden, auf das Problem aufmerksam gemacht werden. Von den Schwachstellen, die durch koordinierte Offenlegungspraktiken privat offengelegt und jedes Jahr von allen Softwareanbietern behoben werden, haben wir festgestellt, dass fast keine ausgenutzt werden, bevor den Kunden ein „Fix“ bereitgestellt wurde, und selbst nachdem ein „Fix“ öffentlich verfügbar gemacht wurde, nur a sehr kleine Mengen werden jemals ausgebeutet. Umgekehrt ist die Erfolgsbilanz der öffentlich bekannt gegebenen Schwachstellen, bevor Fixes für betroffene Produkte verfügbar sind, weitaus schlechter, da Cyberkriminelle häufiger Angriffe gegen diejenigen orchestrieren, die sich nicht geschützt haben oder können.

Ein weiterer Aspekt der CVD-Debatte betrifft das Timing – insbesondere die Zeitspanne, die akzeptabel ist, bevor ein Forscher die Existenz einer Schwachstelle allgemein kommuniziert. Das Beheben eines Fehlers im Webdienst ist völlig anders als das Beheben eines Fehlers in Windows, einem zehn Jahre alten Betriebssystem.

Lesen Sie mehr dazu aus dem Blogbeitrag von Microsoft.