Wenn man in den letzten Wochen so die Nachrichten verfolgt, dann hat sich der Ton zwischen Google und Microsoft in Sachen Security deutlich zugespitzt. Noch letztes Jahr meldete Google gefundene Sicherheitslücken und wartete danach brav monatelang auf einen Fix von Microsoft.
Nach den für Google peinlichen Hackerangriffen, hieß es dort intern "Und tschüss, Windows". Die damals bei Google ausgenutzte Lücke in Windows und im Internet-Explorer wird hier in Detail beschrieben.
Sie war Microsoft offenbar schon länger bekannt, aber wurde erst nach dem Angriff beseitigt. Die Lücke konnte auf IE6 bis IE8 ausgenutzt werden. Zunächst war angenommen worden MS hätte recht gehabt mit dem Hinweis, dass die Lücke und auf IE6 ausnutzbar gewesen sei. Daraufhin wurde mit leichter Häme angenommen, dass bei Google reihenweise noch IE6 auf Firmenrechern im Einsatz gewesen seien. Diese Argumentation ist nun hinfällig und Experten sind eher geneigt Google nun zu glauben. Und es erklärt möglicherweise auch warum Googles Leute mit MS keine Geduld mehr haben…
Im Heise-Artikel "Windows-Hilfe als Einfallstor für Angreifer" stehen Details zu einer neuen Lücke, die als kritisch einzustufen ist. Weil der Google-Entwickler glaubte eine Abhilfe gefunden zu haben, informierte er kurz nach Microsoft auch die Öffentlichkeit. Was nun wiederum Microsoft verärgert, denn die Lücke ist noch größer als angenommen und schwerer zu stopfen. Details und einen Workaround hat nun auch Microsoft veröffentlicht. Eigentlich finde ich das Vorgehen des Google-Entwicklers nicht gut, man sollte den Firmen ausreichend Zeit für den Fix geben. Die Annahme, dass die Lücke sonst niemandem bekannt sei und daher bisher noch nicht ausgenutzt werde, scheint aber bei Microsoft zu einer Verschleppung der Probleme zu führen, die zu den oben genannten Hackerangriffen führten. Das geht nun gar nicht.
Das Ergebnis gibt dem Google-Entwickler nun leider recht. Vermutlich hätte es wieder Monate gedauert bis Microsoft über die Lücke informiert hätte. So kann man sich wenigstens schützen.
Ich bin schon mal auf die nächste Runde im Security-Spiel "Google versus Windows" gespannt…