Microsoft patcht Windows 7/8 teilweise nicht

Forscher von Google haben nachgewiesen, dass Microsoft Sicherheitslücken in Windows 10 behoben hat, die gleichen Lücken in Windows 7 und 8 jedoch offen ließ. Patches kamen erst, als die Veröffentlichung durch Project Zero drohte.

Microsoft patcht identische Bugs in den Windows-Versionen 7, 8 und 10 mit unterschiedlicher Priorität – und braucht bisweilen eine Extra-Aufforderung, sich um die älteren Versionen zu kümmern. Zu dieser Einschätzung gelangte Googles Project-Zero-Team bei einem Binärvergleich zwischen Kernel-Komponenten der drei Windows-Versionen vor und nach dem Einspielen verschiedener Updates.

Die Sicherheitsforscher entdeckten Ende Mai dieses Jahres eine Sicherheitslücke in den Windows-Versionen 7 und 8 – und stellten zugleich auch fest, dass der Fehler in Windows 10 bereits zu einem früheren Zeitpunkt beseitigt worden war. Dass Bugs in aktuellen Betriebssystemversionen im Rahmen der Weiterentwicklung „versehentlich“ behoben werden, ist an sich nichts Ungewöhnliches. Die Beschaffenheit des nur wenige Code-Zeilen umfassenden Win-10-Patches wies laut Project Zero allerdings darauf hin, dass sich Microsoft des Bugs bewusst war und dennoch zunächst auf das Flicken der älteren Versionen verzichtete. Microsoft beseitigte die Sicherheitslücke in Windows 7 und 8 erst, als die Veröffentlichung drohte. Project Zero verfolgt eine sehr strikte Policy und macht letztlich alle gefundenen Schwachstellen publik.

Dass Microsoft ältere Betriebssystem-Versionen stiefmütterlich behandelt, konnte Project Zero noch anhand zweier weiterer Schwachstellen (CVE-2017-8684 und CVE-2017-8685) untermauern, die es ebenfalls mittels Binärvergleich ausfindig machte. Sie wurden in Windows 7 später gepatcht als in Windows 8 und dann auch noch mit unterschiedlichen Flicken versehen.

Als Entschuldigung für die fehlenden Patches könnte man anführen, dass Microsoft das Ausnutzen der drei genannten Bugs durchweg als „wenig wahrscheinlich“ einstufte. Das rechtfertigt jedoch nicht die zusätzliche Gefahr, der Nutzer älterer, ungefixter Versionen durch die inkonsistente Patch-Politik ausgesetzt sind.

2017-10-10T15:25:36+00:00