X

Google: Drei neue Sicherheitslücken in Windows und erstmals auch Lücken in Mac OS veröffentlicht

Google ist fleißig dabei mit seiner Initiative für Sicherheitslücken weitere aufzudecken. Gleich drei neue Sicherheitslücken hat das Unternehmen bei Windows gefunden. Diese hat das Unternehmen im Wesentlichen deswegen veröffentlicht, um den Druck auf Microsoft zu erhöhen. Das Unternehmen soll schneller auf die übermittelten Daten reagieren. Mit den drei Fehlern, so schreibt es jedenfalls Google, soll es möglich sein den Zugriff auf sensible Daten zu erhalten. Besonders über das SMB-Protokoll soll das möglich sein.

Microsoft: Die Fehler sind nicht so schwerwiegend

Microsoft wiegelte die Veröffentlichung der Fehler ab. Aus Sicht des Unternehmens sind sie nicht ein so großes Problem. Die Sicherheitslücke könne nur dann ausgenutzt werden, wenn der Nutzer sowie so schon über weitergehende Rechte verfüge. Einen weiteren Fehler hat Google in der Nutzerkontensteuerung gefunden. Dabei lassen sich Skripte als Administrator ausführen. Das soll allerdings, so entgegnete Microsoft, kein Fehler sondern so gewollt sein. Mit der dritten Lücke soll es möglich sein Informationen aus Teilbereichen aus dem Arbeitsspeicher auszulesen. Allerdings sollen das laut Microsoft nicht genug sein um ernsthaften Schaden anrichten zu können. Wir dürfen gespannt sein wie dieser Streit weiter geht. Die Kritik von Google scheint angebracht zu sein, denn immerhin setzt Microsoft so seine Kunden einer großen Gefahr aus. Die 90 Tage Frist scheint fair zu sein. Jedoch hat das Unternehmen auch unbedacht gehandelt in dem Fall, bei dem Microsoft noch um zwei Tage zur Behebung gebeten hat. Es wird interessant sein, ob die beiden Unternehmen jemals Freunde werden – wahrscheinlich eher nicht.

Mac OS X: Fehler im networkd-Daemon gefunden

Auch Apple gerät jetzt in das Visier vom Project Zero. Google veröffentlichte eine Sicherheitslücke, die den networkd-Daemon betrifft. So erfolgen keine ausreichenden Sicherheitsprüfungen, wenn der Daemon mit einer Sandbox im Safari-Browser kommuniziert. So kann Code aus der Sandbox herausgeschleust werden, der dann im System ausgeführt werden kann. Der Code wird dann mit den gleichen Rechten des Daemons ausgeführt. Die Sicherheitslücke ist in OS X Mavericks, also OS X 10.9.5, enthalten. In OS X Yosemite ist er hingegen nicht mehr vorhanden. Apple scheint das Problem also zumindest bei der neusten Version bereits gelöst zu haben.

Christoph Till:
Verwandte Blogbeiträge