Zero-Day-Lücke enthüllt: Google ärgert Microsoft erneut

Microsoft hatte erst kürzlich Google für die Veröffentlichung von Details zu zwei bisher ungepatchten Windows-Lücken kritisiert. Die Infos gerieten an die Öffentlichkeit, ehe Microsoft sie zum Patch-Day im Januar schließen konnte. Kurz nach dem Patch-Day in dieser Woche enthüllt Google nun eine weitere offene Sicherheitslücke in Windows. Sie steckt in der Speicher-Verschlüsselungsfunktion CryptProtectMemory in Windows 7 und Windows 8.1.

Auch dieses Mal erfolgt die Veröffentlichung gemäß der Google-Sicherheitsinitiative "Project Zero", laut der der Hersteller über eine Lücke informiert wird und dann 90 Tag lang Zeit hat die Sicherheitslücke zu stopfen, ehe die entsprechenden Details zur Lücke veröffentlicht werden. Microsoft wurde über die CryptProtect-Memory laut Google am 17. Oktober 2014 informiert. Microsoft habe dann die Lücke bestätigt und begonnen einen Patch zu entwickeln.

Am Donnerstag - kurz vor Ablauf der Frist - lieferte Microsoft dann die Information an "Project Zero", dass der Patch aufgrund von Kompatiblitätsproblemen nicht zum Patch-Day im Januar ausgeliefert werden konnte und nun wahrscheinlich zum Patch-Day im Februar verfügbar sein wird. Wenige Stunden später lief die 90-Tage-Frist ab und Google veröffentlichte die Informationen zur Lücke.

"Was richtig ist für Google, ist nicht immer richtig für die Kunden. Wir drängen Google dazu, den Schutz der Kunden zu unserem gemeinsamen primären Ziel zu machen", hatte Chris Betz, Senior Director beim Microsoft Security Response Center, erst vor wenigen Tagen gefordert. Bisher hat Microsoft noch nicht auf die neue Veröffentlichung reagiert. (PC Welt/mje)