Microsofts Patch-Politik in der Kritik

Vergrößern Microsofts Patch-Politik in der Kritik

© 2014

Grund für die Kritik ist der Patch-Day in diesem Monat . Microsoft hatte in einem Sicherheitsbulletin auf kritische Sicherheitslücken in Powerpoint hingewiesen und auch ein Sicherheitsupdate veröffentlicht. Allerdings ist das Sicherheitsupdate bisher nicht für alle Microsoft-Produkte erhältlich, die von den Sicherheitslücken betroffen sind, wie folgende Tabelle zeigt:

Im zum Patch-Day im Mai veröffentlichten Sicherheitsbulletin finden sich alle Details zu den Sicherheitslücken in Powerpoint. Inklusive dem Hinweis, dass der Patch für die Mac-Produkte noch in der Entwicklung ist und irgendwann im Juni erscheinen wird. Damit hätten potentielle Angreifer nicht nur alle notwendigen Informationen für einen Angriff, sondern auch genügend Zeit, solche Angriffe zu starten.

Normalerweise verlangt Microsoft von Entdeckern einer Sicherheitslücke, alle Details geheim zu halten, bis Microsoft ein Update für die Sicherheitslücke geliefert hat. Gegen dieses Prinzip, so der Vorwurf von Sicherheitsexperten, habe Microsoft zum Patch-Day im Mai selbst verstoßen.

Im Microsoft-Blog Security Research & Defense verteidigt Microsoft sein vorgehen. „Normalerweise aktualisieren wir eine Plattform nicht vor einer anderen“, heißt es dort. Es wird aber hinzugefügt, dass keines der schädlichen Powerpoint-Beispiel-Angriff-Codes, die man analysiert habe, die Mac-Fassung von Powerpoint betreffen. Dar das Sicherheitsupdate für die Windows-Plattform bereits früher fertig geworden sei, habe man beschlossen, dies sofort zu veröffentlichen. Im Falle der Mac-Fassung habe man noch viel Arbeit und viele Tests vor sich.