Weil Micro­soft zu lan­ge braucht: Goog­le ent­hüllt Sicher­heits­lü­cke im Edge-Browser

Auch Micro­soft ist nicht vor Sicher­heits­lü­cken in sei­nen Pro­duk­ten gefeit und muss sich mit­un­ter die Häme sei­ner Kon­kur­ren­ten gefal­len las­sen – ins­be­son­de­re dann, wenn die besag­te Kon­kur­renz die Lücken auf­deckt und zu lan­ge nichts geschieht. So gesche­hen jetzt beim Edge-Brow­ser und mit Google.

Vor mehr als drei Mona­ten hat­te ein Team von Sicher­heits­for­schern aus Goo­gles “Pro­ject Zero” den Win­dows-Ent­wick­ler auf eine nicht uner­heb­li­che Sicher­heits­lü­cke in des­sen Edge-Brow­ser auf­merk­sam gemacht. Unter­nom­men hat Micro­soft seit­dem – zumin­dest nach außen hin sicht­bar – nichts. Grund genug für den Such­ma­schi­nen­rie­sen und Anbie­ter des Chro­me-Brow­sers, sei­nem direk­ten Wett­be­wer­ber eins aus­zu­wi­schen. Das berich­tet nun Neo­win.

Dem­nach wur­de die als mit­tel­schwe­res Sicher­heits­ri­si­ko ein­ge­stuf­te Lücke bereits im Novem­ber von Goo­gles Exper­ten ent­deckt und die Infor­ma­tio­nen direkt an Micro­soft wei­ter­ge­lei­tet. Micro­soft konn­te inner­halb einer von Goog­le ein­ge­räum­ter Frist jedoch kei­ne Lösung prä­sen­tie­ren. Das rief Goog­le jetzt erneut auf den Plan.

Update in Arbeit, aber Ver­öf­fent­li­chung kommt für Micro­soft zu früh

Goo­gles neu­er­li­cher Schritt, die Lücke fast einen Monat vor dem geplan­ten Update öffent­lich zu machen, dürf­te Micro­soft gar nicht gefal­len. Dabei kann man Micro­soft in der Cau­sa Edge wohl nur bedingt Untä­tig­keit vor­wer­fen. So soll ein ent­spre­chen­des Update bereits in Arbeit sein. Des­sen ange­peil­ter Start­ter­min dürf­te ver­är­ger­te Edge-Nut­zer aber kaum beschwich­ti­gen: Micro­soft möch­te am 13. März begin­nen, den Patch aus­zu­rol­len, wie Neo­win wei­ter­hin erfah­ren haben will.

Die omi­nö­se 90-Tage-Regel – und pro­mi­nen­te Ausnahmen

Pikant ist die Ange­le­gen­heit nicht zuletzt vor dem Hin­ter­grund, dass Goog­le und Micro­soft sich in der Ver­gan­gen­heit in ähn­li­chen Situa­tio­nen bereits uneins waren. Immer­hin: Goo­gles Pro­ject Zero ver­an­schlagt eine Zeit­span­ne von bis zu 90 Tagen, um eine dia­gnos­ti­zier­te Sicher­heits­lü­cke in Diens­ten, Hard­ware und Soft­ware zu schlie­ßen. Da sich die­ser kon­kre­te Fall offen­bar als beson­ders schwie­rig her­aus­stell­te, gewähr­te man dem Kon­kur­ren­ten sogar noch wei­te­re zwei Wochen. Nach ins­ge­samt 104 Tagen war es Goog­le dann aber offen­bar genug mit der unei­gen­nüt­zi­gen Rücksicht.

Die Sicher­heits­lü­cke im Edge-Brow­ser stellt damit übri­gens kei­nes­wegs die ein­zi­ge Aus­nah­me von der 90-Tage-Regel dar. So sah sich Goog­le t3n zufol­ge auf­grund des Aus­ma­ßes der Sicher­heits­lü­cken Melt­down und Spect­re zuletzt genö­tigt, die Zeit­span­ne dort auf bis zu sechs Mona­te auszuweiten.