Der Google-Forscher James Forshaw hat am ein Sicherheitsleck in Windows 8.1 veröffentlicht, das von Microsoft noch nicht geschlossen wurde. Zuvor hatte man dem Konzern nach Angaben von Google 90 Tage Zeit zur Behebung der Sicherheitslücke gegeben. Microsoft hätte die Lücke also seit dem am 30. September 2014 schließen können, das ist aber nicht passiert.
Nach der Veröffentlichung verspricht Microsoft nun einen schnellen Patch zur Schließung der Lücke.
Für die Nutzer dürfte die Sicherheitslücke nicht besonders kritisch sein - um sie auszunutzen benötigt ein Angreifer die Zugangsdaten zum Rechner und muss sich lokal einloggen können. Im Alltag sollte das also kaum ein Risiko darstellen.
Der Vorfall wirft aber die Frage auf, wie mit Sicherheitslücken umgegangen werden soll und ab wann diese veröffentlicht werden dürfen. Google wurde vielfach für die Veröffentlichung kritisert, andererseits hat Microsoft nun nach der Veröffentlichung schnelle Abhilfe versprochen.
Was haltet ihr davon? Sollten solche Zero-Day-Exploits veröffentlicht werden, um den Druck auf Konzerne zu erhöhen oder sollte man den Softwareherstellern mehr Zeit geben, Sicherheitslücken zu schließen?
Ich denke es ist ein zweischneidiges Schwert: Einerseits hat Microsoft binnen der 90 Tage offenbar nichts getan, um die Sicherheitslücke zu schließen, andererseits hat Google viele tausend Nutzer potentiell gefährdet.
Nach der Veröffentlichung verspricht Microsoft nun einen schnellen Patch zur Schließung der Lücke.
Für die Nutzer dürfte die Sicherheitslücke nicht besonders kritisch sein - um sie auszunutzen benötigt ein Angreifer die Zugangsdaten zum Rechner und muss sich lokal einloggen können. Im Alltag sollte das also kaum ein Risiko darstellen.
Der Vorfall wirft aber die Frage auf, wie mit Sicherheitslücken umgegangen werden soll und ab wann diese veröffentlicht werden dürfen. Google wurde vielfach für die Veröffentlichung kritisert, andererseits hat Microsoft nun nach der Veröffentlichung schnelle Abhilfe versprochen.
Was haltet ihr davon? Sollten solche Zero-Day-Exploits veröffentlicht werden, um den Druck auf Konzerne zu erhöhen oder sollte man den Softwareherstellern mehr Zeit geben, Sicherheitslücken zu schließen?
Ich denke es ist ein zweischneidiges Schwert: Einerseits hat Microsoft binnen der 90 Tage offenbar nichts getan, um die Sicherheitslücke zu schließen, andererseits hat Google viele tausend Nutzer potentiell gefährdet.