Bug-Eintrag samt Exploit 90 Tage nach Bericht automatisch öffentlich - Project Zero mit offensivem Ansatz

Vor einigen Monaten hat sich Google dazu entschlossen, künftig eine aktivere Rolle im Aufspüren von Sicherheitslücken einzunehmen. Unter dem Namen "Project Zero" hat man ein Team aus Hackern zusammengestellt, deren Aufgabenbereich nicht auf Googles eigene Software beschränkt ist. Es werden also auch die Erzeugnisse der Konkurrenz unter die Lupe genommen. Dabei gibt man den jeweiligen Softwareherstellern 90 Tage Zeit das Problem mit einem Update zu klären, bevor die Lücke öffentlich gemacht wird. Ein Zeitfenster, das allerdings nicht für alle Firmen groß genug zu sein scheint, wie nun ausgerechnet am Beispiel von Microsoft demonstriert wird.

So hat Google eine kritische Sicherheitslücke in Windows 8.1 öffentlich gemacht, für die es bislang noch keinen Patch vom Hersteller gibt. Über einen Fehler im Systemaufruf NtApphelpCacheControl können normale Nutzer Administrationsrechte erhalten. Der unter dem Namen Forshaw agierende Google-Forscher liefert dazu auch gleich einen Proof-of-Concept, mit dem sich das Problem nachvollziehen lässt.

Quelle: derstandard.at