102034

Nach den IE-Exploits: Microsoft überdenkt Sicherheits-Strategie

29.03.2006 | 12:20 Uhr |

Es lässt Microsoft keineswegs kalt, dass Hacker eine neu aufgedeckte Schwachstelle im IE derzeit massiv ausnutzen und viele Nutzer frustriert sind, weil ein Lösung für das Problem noch zwei Wochen auf sich warten lassen könnte. Der Softwaregigant grübelt bereits über seiner Sicherheits-Strategie: Sollte man die Bereitstellung von Sicherheitspatches forcieren? Updates eventuell weniger ausgiebig testen? Und was für Folgen hätten derartige Maßnahmen?

Mehr als 200 Webseiten konnten bereits identifiziert werden, die die neueste Schwachstelle im IE - die createTextRange()-Lücke - ausnutzen ( wir berichteten ). Ein offizieller Flicken für das Sicherheitsloch wird aller Wahrscheinlichkeit nach aber erst am üblichen Patch-Day im nächsten Monat, also am 11. April, bereitstehen. Die Debatte um Microsofts Sicherheits-Strategie ist dadurch neu entfacht worden. In den Augen der Sicherheits-Community ist der Softwaregigant einfach viel zu träge, um auf ernste Probleme schnell reagieren zu können.

Microsofts übliche Vorgehensweise, Patches erst am zweiten Dienstag eines jeden Monats zur veröffentlichen, kann manchmal Heim-Nutzer schädigen. Sie profitieren nicht von Schichten über Schichten an Schutzmechanismen, die typisch für Unternehmens-Bereiche sind, erläutert Todd Towles, ein Sicherheits-Berater in Austin, Texas. "In der Vergangenheit, da hatte ich kein Problem mit Microsofts Verzögerungen, aber es passiert jetzt zu oft", so Towles. "Microsoft wartet auf den Patch-Dienstag, um IT-Teams in Unternehmen glücklich zu machen, aber das schädigt einige Millionen Heim-Anwender, die einem höheren Sicherheitsrisiko ausgesetzt sind."

Microsoft lässt die wieder einmal entfachte Debatte um seine Sicherheits-Strategien keineswegs kalt. Das Unternehmen untersucht bereits, wie man schneller Updates bereitstellen könnte. Pläne, eventuell die Beta-Versionen von Sicherheits-Updats bereitzustellen (wie dies jetzt gefordert wurde), gibt es aber laut Stephen Toulouse, Security Program Manager im Microsoft Security Response Center, gegenwärtig nicht. "Das wäre mit einigen sehr großen Herausforderungen verbunden“, so Toulouse. Besonders was das Thema Qualitätssicherung angeht.

Microsoft muss nämlich sicherstellen, dass seine Updates auf einer breiten Palette an Plattformen funktionieren, von denen viele angepasst wurden, für die verschiedenen Länder auf der Welt. "Wir können niemanden außen vorlassen", meint Toulouse. "Und unglücklicherweise führt man eventuell neue Probleme ein. Wann immer wir einen schnellen Hack ins Auge fassen…muss er qualitativ hochwertig sein. Das ist es, was Kunden uns wieder und wieder gesagt haben.“ Weiter sagt er: "Das soll nicht heißen, dass wir nicht Wege unter die Lupe nehmen, die es uns ermöglichen würden…ein schnelleres oder möglicherweise weniger ausgiebig getestetes Update herauszubringen, aber wir haben bislang keinen Entschluss gefasst.“

Die Idee, Software bereits vorab zugänglich zu machen, die dementsprechend nicht oder noch nicht unterstützt wird, ist dabei keineswegs neu für Microsoft. Das Unternehmen liefert ja schon seit Jahren Preview- & Beta-Versionen von Produkten vorab an Tester, und hat gerade in den letzten Monaten positive Änderungen herbeigeführt, Stichwort Transparenz. Und man versucht auch beweglicher bei Microsoft zu werden, in der Art und Weise wie Code aus kommenden Produkten zur Verfügung gestellt wird.

Obowhl die Vorgehensweise - ein in der Beta-Phase befindliches Produkt vorab Nutzern zur Verfügung zu stellen - für manche Software funktionieren mag, ist sie aber eventuell nicht für Sicherheitsupdates geeignet. Wenn Microsoft einen nicht ausgereiften Patch bereitstellt, könnte das Unternehmen Hackern damit eventuell einen entscheidenden Hinweis für eine neue Art von Angriff in die Hände spielen. Auch wie mit Informationen umgegangen werden sollte, ist nicht ganz klar. Toulouse gibt zu bedenken, dass wenn Microsoft ein Bulletin veröffentlicht, Details zu den Lücken genannt werden. "Mit einer Beta, wie sollte es da gehandhabt werden? Gibt es da auch eine Art Bulletin?"

Dass andere dazu verleitet werden für Microsoft in die Bresche zu springen, scheint auch nicht des Rätsels Lösung zu sein. Hintergrund: Aufgrund der recht langen Reaktionszeiten, haben beispielsweise die Spezialisten von eEye Digital Security Inc. und Determina Inc inoffizielle Patches für den letzten Bug bereitgestellt ( wir berichteten ). Und bereits vor rund zwei Monaten stellte der Entwickler Ilfak Guilfanov einen von vielen genutzten Patch bereit, mit dem eine ähnlich kritische Lücke geschlossen wurde. Microsoft empfiehlt die Patches Dritter jedenfalls nicht . Der Grund dafür ist einfach: Durch die Modifikation wird die Funktionsweise des Produkts geändert, eventuell ist die Anwendung dann nicht mehr kompatibel mit anderen Anwendungen.

Towles hält den Weg für Microsoft, früher Updates zu veröffentlichen für machbar. Sein Kommentar: "Sie lassen uns SQL (Beta) nutzen, warum nicht auch einen Beta-Patch für den IE?"

Inoffizieller Patch für neue IE-Sicherheitslücke

Trojanische Pferde nutzen neuen IE-Exploit

Dritte IE-Schwachstelle innerhalb kürzester Zeit (Update!)

0 Kommentare zu diesem Artikel
102034