Fragen? Antworten! Siehe auch: Alternativlos
Wer nicht genau hinguckt, der könnte glauben, dass die Lücken alle von den Guten gefunden und gemeldet werden.
Das stimmt aber nicht. Erstens gab es gerade eine Flut aus Fixes für in der freien Wildbahn beobachteten Sicherheitslücken.
Zweitens, und das ist mir wichtig, dass ihr das alle versteht: Hersteller stehen unter keinerlei Druck, gefixte Sicherheitslücken überhaupt öffentlich anzusagen. Hersteller melden auch im Allgemeinen intern gefundene Lücken nicht, selbst wenn die in der freien Wildbahn gefunden wurden.
Woher weiß der Hersteller von Sicherheitslücken in der freien Wildbahn, fragt ihr euch jetzt vielleicht? Nun, Crash Reporting. Dr Watson hieß das früher. "This program has stopped working …"
Ihr seht hier also nur die Spitze des Eisbergs. Fixes für Lücken, die von Externen gefunden wurden, die möglicherweise schlechte PR verursachen könnten, wenn man die Bugs gar nicht oder verdeckt im nächsten Update fixt.
Nehmt mal bitte nicht für eine Sekunde an, dass das schon alles ist. Die Software da draußen ist auf so vielen Ebenen kaputt, das glaubt man gar nicht, wenn man nicht regelmäßig Bugtracker von Open Source-Projekten durchguckt und ein Gefühl dafür entwickelt.
Dass diese Lücken bekannt wurden, liegt daran, dass Google Project Zero die gefunden hat, und die haben so einen Ehrenkodex und melden auch Lücken in Google-Produkten öffentlich. Das war der Preis dafür, dass Google da so ziemlich die Besten der Besten gekriegt hat. Die hatten keinen Bock, sich als Waffe gegen Dritte missbrauchen zu lassen.