[Prince]

Zitat:

Google hat vor kurzem eine Sicherheitslücke in Windows 8.1 öffentlich gemacht, zwei Tage bevor Microsoft diese gestopft hat. Das Redmonder Unternehmen ist deswegen sauer, da man zuvor das Suchmaschinenunternehmen gebeten hatte, damit zu warten, bis man den Fix verteilt hat. Google berief sich auf eine Standard-mäßige 90-Tage-Frist, Microsoft sieht darin aber eine fahrlässige Gefährdung der Nutzer.
"Erwischt!"?

Google hat eine Initiative namens "Project Zero", in deren Rahmen man Sicherheitslücken ausforscht. Diese werden an den jeweiligen Software-Anbieter gemeldet, dieser bekommt eine Standard-Frist von 90 Tagen, um einen Fix zu veröffentlichen, andernfalls wird die Lücke bzw. der dazugehörige Report öffentlich gemacht. Im Fall einer Schwachstelle von Windows 8.1 und dem Login-Mechanismus des Betriebssystems war das Timing aber besonders unglücklich.

Denn die Google-Frist ist vor gut einer Woche abgelaufen und es kam zur Offenlegung der Schwachstelle. Allerdings war der dazugehörige Patch für den regulären Patch-Dienstag von Microsoft wenige Tage danach angesetzt. Laut Chris Betz, dem Chef des Microsoft-Sicherheitsprogramms, habe man Google darüber auch in Kenntnis gesetzt und explizit gebeten, mit der Offenlegung abzuwarten.

Und Betz ist in einem Blogbeitrag auch ziemlich sauer, auch wenn ihm die Google-Frist bekannt ist: "Die Entscheidung fühlt sich nicht nach Prinzip, sondern nach einem 'Erwischt' an. Der Leidtragende ist der Kunde, da dieser möglicherweise davon betroffen ist." Betz weiter: "Was für Google richtig ist, ist nicht zwangsläufig richtig für Kunden." Er "fordert" Google auf, den Schutz des Kunden zum "primären Ziel" zu machen (Betz deutete an, dass Microsoft für den Fix aufgrund dessen Komplexität länger gebraucht habe).

Balance
Wie GeekWire erläutert ist das eine anhaltende Debatte in der Welt der "Sicherheitswelt", nämlich die Balance zu finden, wie Nutzer geschützt und Software-Anbieter (zum Patchen) unter Druck gesetzt werden können. Google verteidigte sein Vorgehen Ende Dezember im Rahmen einer früheren Windows-8.1-Lücke, deutete aber auch an, dass man sich auch Ausnahmen vorstellen könnte.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[Thumbtack Jack]

Zitat:

Wie GeekWire erläutert ist das eine anhaltende Debatte in der Welt der "Sicherheitswelt", nämlich die Balance zu finden, wie Nutzer geschützt und Software-Anbieter (zum Patchen) unter Druck gesetzt werden können. [/URL]

Ja, diese Debatte ist echt anhaltend so seit den 80ern....