188610

Von der Sicherheitslücke zum Update

28.09.2005 | 16:35 Uhr |

Eine Sicherheitsexpertin von Microsoft beschreibt, wie bei Microsoft ein Security Bulletin entsteht.

Unter Umständen ist es ein langer Weg von einer gemeldeten Sicherheitslücke in Windows oder im Internet Explorer bis zu einem Security Bulletin. Zu diesem gehört auch ein Sicherheits-Update, mit dem die Schwachstelle beseitigt werden soll. Alexandra Huft vom Microsoft Security Response Center (MSRC) beschreibt im Weblog des MSRC , warum es so lange dauern kann, bis ein Security Bulletin bereit gestellt wird.

Nach Eingang einer Meldung über eine mögliche Sicherheitslücke versuchen die Fachleute bei Microsoft die Angaben des Einsenders nachzuvollziehen und seine Feststellungen zu verifizieren. Dazu werden die Entwicklungs-Teams betroffener Produkte und das Team der Secure Windows Initiative (SWI) innerhalb des MSRC einbezogen. Es folgen oft kontroverse Diskussionen im Lagezentrum des MSRC darüber, wie schwerwiegend das Problem ist.

Ist das geschafft, geht es an die Entwicklung eines Updates, das die Schwachstelle beseitigen soll. Dabei gibt es oft Zielkonflikte zwischen einer möglichst schnellen Verfügbarkeit des Updates und der Notwendigkeit ungünstige Nebenwirkungen des Heilmittels aufzuspüren. So kann es vorkommen, dass eine als verwundbar identifizierte Komponente in mehreren Produkten verwendet wird, etwa in Office und im Internet Explorer.

Hat das eine Team bereits ein Update parat, während das andere noch intensive Tests durchführen muss, stellt sich die Frage, ob das erste Update schon als Security Bulletin oder Sicherheitsempfehlung veröffentlicht werden sollte. Die Folge könnte sein, dass dadurch eine offene Flanke verbleibt, die ausgenutzt werden kann. Mit der Veröffentlichung des ersten Updates werden Details der Sicherheitslücke bekannt und sie kann analysiert und bei dem zweiten, noch nicht aktualisierten Produkt ausgenutzt werden.

Alexandra Huft wirbt mit ihrem Weblog-Beitrag um Verständnis dafür, dass zuweilen der Eindruck entstehen kann, Microsoft habe vergessen ein Update bereit zu stellen oder lasse sich viel Zeit. Man versuche lediglich so sicher wie möglich zu sein, dass alles so funktioniert, wie die Anwender es erwarten. Sie schreibt, erst seit sie selbst im MSRC arbeite, habe sie ein Verständnis dafür entwickelt, wie schwierig das sein könne.

Sicherheits-Newsletter : Sie möchten in punkto Sicherheit immer auf dem Laufenden bleiben? Dann abonnieren Sie doch einfach unseren kostenlosen Security-Newsletter. Dieser wird werktäglich verschickt. Bei Bedrohungen, die sofortiges Handeln erfordern, erhalten Sie zudem einen Security-Alert per Mail. Sie können den Newsletter auf dieser Website bestellen .

0 Kommentare zu diesem Artikel
188610