Im Zuge des Project Zero hat sich Google vorgenommen eine aktivere Rolle bei der Suche und Veroeffentlichung von Schwachstellen ein zu nehmen und beschraenkt sich dabei nun nicht mehr ausschliesslich auf eigene Softwareprodukte.
Bereits am 30. September 2014 wurde vom Teammitglied Forshaw ein Eintrag inklusive Proof of Concept Anwendung fuer Windows 8.1 zum gefundenen Privilege Elevation Bug erstellt. Der Fehler in der Funktion, AhcVerifyAdminContext, die dem Anschein nach fuer interne Zwecke gedacht ist und in Microsofts offizieller Dokumentation nicht aufscheint, kann von einem Angreifer, der bereits ueber einen lokalen Benutzeraccount verfuegt, verwendet werden um Anwendungen mit Administratioins-Rechten auszufuehren. Das bedeutet, dass eine manipulierte Anwendung ohne Wissen des Benutzers Aenderungen am System vornehmen kann. Laut ZDNET wurden bei eigenen Tests infizierte Executables von Virenscannern bereits als Gefahr erkannt.
Microsoft haette nach der Erstellung des Bugreports in Googles Project Zero 90 Tage Zeit gehabt um einen Patch zu liefern, bevor der private Eintrag am 29.12.2014 automatisch veroeffentlicht wurde.
In sozialen Netzwerken wurde Google nun kritisiert, dass leichtfertig mit den Fehlermeldungen umgegangen worden waere und man schwerwiegende Probleme nicht automatisch veroeffentlichen duerfte. Befuerworter entgegnen dem, dass 3 Monate haetten ausreichen muessen um einen Patch fuer das Problem zu liefern und es notwendig waere Hersteller zum schnellen Handeln zu zwingen, bevor Dritte die Vulnerability entdecken und beginnen diese zu exploiten.
Ein vergleichbares Projekt von HP, TippingPoint's Zero Day Initiative, gewaehrt Unternehmen eine Deadline von 4 Monaten bevor Schwachstellen veroeffentlicht werden.
Quellen:
Google Security Research - Issue 118
ZDNET Artikel
Artikel im Standard
Bereits am 30. September 2014 wurde vom Teammitglied Forshaw ein Eintrag inklusive Proof of Concept Anwendung fuer Windows 8.1 zum gefundenen Privilege Elevation Bug erstellt. Der Fehler in der Funktion, AhcVerifyAdminContext, die dem Anschein nach fuer interne Zwecke gedacht ist und in Microsofts offizieller Dokumentation nicht aufscheint, kann von einem Angreifer, der bereits ueber einen lokalen Benutzeraccount verfuegt, verwendet werden um Anwendungen mit Administratioins-Rechten auszufuehren. Das bedeutet, dass eine manipulierte Anwendung ohne Wissen des Benutzers Aenderungen am System vornehmen kann. Laut ZDNET wurden bei eigenen Tests infizierte Executables von Virenscannern bereits als Gefahr erkannt.
Microsoft haette nach der Erstellung des Bugreports in Googles Project Zero 90 Tage Zeit gehabt um einen Patch zu liefern, bevor der private Eintrag am 29.12.2014 automatisch veroeffentlicht wurde.
In sozialen Netzwerken wurde Google nun kritisiert, dass leichtfertig mit den Fehlermeldungen umgegangen worden waere und man schwerwiegende Probleme nicht automatisch veroeffentlichen duerfte. Befuerworter entgegnen dem, dass 3 Monate haetten ausreichen muessen um einen Patch fuer das Problem zu liefern und es notwendig waere Hersteller zum schnellen Handeln zu zwingen, bevor Dritte die Vulnerability entdecken und beginnen diese zu exploiten.
Ein vergleichbares Projekt von HP, TippingPoint's Zero Day Initiative, gewaehrt Unternehmen eine Deadline von 4 Monaten bevor Schwachstellen veroeffentlicht werden.
Quellen:
Google Security Research - Issue 118
ZDNET Artikel
Artikel im Standard