88404

Streit um Bugtraq-Eintrag: Aufklären oder schweigen?

21.11.2002 | 11:12 Uhr |

Spätestens seit Microsofts Forderung, Sicherheitslücken geheimzuhalten, bis entsprechende Bugfixes verfügbar sind, herrscht ein Streit darüber, ob Security-Alerts hilfreich sind oder Hackern als Anleitung dienen. Viele Experten sind der Ansicht, Hersteller würden Patches nur sehr langsam oder überhaupt nicht zur Verfügung stellen, wenn nicht öffentlich vor in betreffenden Anwendungen entdeckten Lecks gewarnt würde. Andere, wie der oberste US-Sicherheitswächter Richard Clarke, meinen, Anbietern müsste eine angemessene Frist zur Entwicklung der Fehlerbereinigungen eingeräumt werden. Nun erhitzt ein Eintrag in die Mailing-Liste Bugtraq erneut die Gemüter.

Spätestens seit Microsofts Forderung, Sicherheitslücken geheimzuhalten, bis entsprechende Bugfixes verfügbar sind, herrscht ein Streit darüber, ob Security-Alerts hilfreich sind oder Hackern als Anleitung dienen.

Viele Experten sind der Ansicht, Hersteller würden Patches nur sehr langsam oder überhaupt nicht zur Verfügung stellen, wenn nicht öffentlich vor in betreffenden Anwendungen entdeckten Lecks gewarnt würde. Andere, wie der oberste US-Sicherheitswächter Richard Clarke, meinen, Anbietern müsste eine angemessene Frist zur Entwicklung der Fehlerbereinigungen eingeräumt werden.

Nun erhitzt ein Eintrag in der Mailing-Liste Bugtraq erneut die Gemüter, wie unsere Schwesterpublikation Computerwoche berichtet. Der Autor beschreibt darin detailiert einen so genannten Exploit, der die Festplatten von Anwendern der Versionen 5.5 und 6.0 des Internet Explorers formatiert, wenn diese manipulierte Web-Seiten aufrufen. Er verstehe nicht, sagte der unabhängige Sicherheitsexperte Richard Smith, inwiefern die Veröffentlichung des Exploits die Sicherheit betroffener Systeme erhöhe.

Vielmehr helfe der Anitivirenhersteller Symantec, der die Mailing-Liste hostet, Script Kiddies, Internet-Seiten entsprechend zu präparieren. Offenbar werde das Forum nicht mehr moderiert, nachdem es von Symantec übernommen wurde. Der Eintrag sei explizit zur Veröffentlichung in Bugtraq freigegeben worden, erwiderte Symantec-Sprecherin Genevieve Haldeman. Die Mailing-Liste gelte als unabhängige Kommunikationsplattform für Sicherheitsexperten und habe die Aufgabe, vor Gefahren dieser Art zu warnen, bevor sie "in the wild" auftauchen.

Der Exploit werde zur Zeit untersucht, sagte eine Microsoft-Sprecherin. Nach bisherigem Kenntnisstand seien Anwender auf der sicheren Seite, wenn sie die aktuellen Service Packs für die betroffenen Browser ( SP1 für IE6 , SP2 für IE 5.5 ) einspielen.

Symantec auf Einkaufstour: Kauf von Securityfocus und anderen (PC-WELT Online, 19.07.2002)

0 Kommentare zu diesem Artikel
88404