Anfang dieser Woche meldete Google einen Fehler in Microsoft Edge nachdem Microsoft den Fehler nicht rechtzeitig beheben konnte. Jetzt veröffentlichte Googles Project Zero Team aus Sicherheitsforschern einen weiteren Windows 10 Sicherheitsfehler, den Microsoft ebenfalls nicht rechtzeitig innerhalb der 90-Tage-Periode gepatcht hat. Neowin bemerkte, dass Google im November zwei Fehlerberichte bei Microsoft eingereicht hat, jedoch richtete sich das Unternehmen nur an einen der beiden mit seinem letzten Patch Dienstag Fix.

Das neueste, nicht-gepatchte Problem ist eine Steigerung der Privilegien, welche es einem normalen Nutzer möglich macht, Administratorrechte in einem System zu erlangen. Microsoft bewertete den Fehler als “wichtig”, jedoch nicht als “kritisch”, weil er nicht von außerhalb eines Systems genutzt werden kann. Trotz allem ist es wichtig das Problem zu beheben, da Angreifer das möglicherweise mit einer separaten, unbekannten Remotecodeausführung kombinieren könnten, um den Administratorzugriff zu erlangen. Das ist allerdings ein unwahrscheinliches Szenario, außer Microsoft fixt das Problem nicht sofort.

Es ist noch nicht klar, wann Microsoft beabsichtigt den neuesten Windows 10 Sicherheitsfehler zu beheben, und das Unternehmen muss nach wie vor die Edge-Sicherheitslücke patchen, die Anfang der Woche von Google bekannt gegeben wurde. Google und Microsoft haben eine Vergangenheit mit vielen Meinungsverschiedenheiten über Googles Vorgehen, Schwachstellen offen zu legen. Letztes Jahr konterte Microsoft auf Googles Ansatz für Sicherheitspatches mit dem Entdecken eines Chrome Fehlers, den sie dem Unternehmen “verantwortungsbewusst” mitteilten, sodass sie genug Zeit haben dieses zu patchen.

Googles Richtlinien etwas nach 90 Tagen ohne Patch offenzulegen wurde oft gleicher Maßen kritisiert und gelobt. Es gibt eine Menge Beweise um zu behaupten, dass Sicherheitsanfälligkeiten in Windows quer über der Industrie steigen und Microsoft hat deutlich damit gekämpft diese zwei Probleme mit einer Menge Ankündigungen zu beheben. Es kann ebenfalls damit argumentiert werden, dass Google Konkurrenzsoftware mit seinen Anstrengungen sicherer macht, indem es die Software von jedermann sichert. Allerdings hat Google ebenfalls kompetitive kommerzielle Interessen und Project Zero ist bei der Auffindung und Veröffentlichung von neuen Anfälligkeiten ungewöhnlich aggressiv gewesen.

Berichte weisen darauf hin, dass Googles Project Zero Sicherheitsteam von den Auswirkungen die vom Google Hack im Jahre 2009 ausgegangen sind, ein Eingriff dem nicht gepatchtem Mangel in Microsofts Internet Explorer 6 Browser vorgeworfen wird.

Google macht mit Nachfristen Ausnahmen bei seinen strengen Regeln und kann sogar viel früher veröffentlichen, wenn die Anfälligkeit aktiv ausgenutzt wird. Google veröffentlichte einen wichtigen Windowsfehler im Jahre 2016, nur 10 Tage nachdem es Microsoft gemeldet worden ist und das Unternehmen hat in der Vergangenheit Zero-Days Fehler in Windows offengelegt bevor Patches zur Verfügung standen.