13.08.2009 11:16
Microsoft kannte kritische 0-Day-Lücke seit über zwei Jahren
Wie sich jetzt herausstellt, war die beim vorigen Patchday geschlossene, kritische Sicherheitslücke in der Office-Webkomponente (OWC) Microsoft bereits seit über zwei Jahren bekannt. Erst nachdem sie aktiv ausgenutzt wurde, ging es auf einmal schnell und innerhalb eines Monats stand der Patch bereit.
Bereits im März 2007 meldete die Zero Day Initiative (ZDI) das von Peter Vreugdenhil entdeckte Sicherheitsproblem bei Microsoft. Die ZDI erklärte den Zuständigen, dass speziell präparierte Parameter beim Aufruf msDataSourceObject() zu Fehlern in der Speicherverwaltung führen, die ein Angreifer ausnutzen kann, um Code einzuschleusen und auszuführen. Daraufhin passierte offenbar erst einmal lange Zeit nichts – jedenfalls nichts, was die Anwender vor den Konsequenzen dieses Sicherheitsproblems geschützt hätte.
Die ZDI bestätigte die in ihrem gestern veröffentlichten Advisory angegebenen Datumsangaben. "Sie [Microsoft] benötigten immer wieder mehr Zeit, um sicherzustellen, dass das Problem wirklich richtig behoben wird", erklärte ZDI-Manager Pedram Amini gegenüber heise Security. Und es sei nun mal eine Richtlinie der ZDI, dass man dem Hersteller so viel Zeit gebe, wie er benötige.
Das Verhalten des Software-Riesen änderte sich schlagartig Anfang Juli, als bekannt wurde, dass genau diese Lücke im Internet aktiv ausgenutzt wurde, um Windows-Anwendern Schadcode unterzujubeln. Plötzlich gab Microsoft ein Advisory zu der Schwachstelle heraus und kündigte schnellstmögliche Gegenmaßnahmen an. Die kulminierten dann in weniger als einem Monat in einem Patch, der in MS09-043 einfloss und am Dienstag im Rahmen des August-Pachtdays veröffentlicht wurde.
Von Microsoft gab es auf die Frage, warum das Unternehmen für den Patch zuerst so viel Zeit benötigt habe und der Konzern dann doch recht zügig reagierte, ein verklausuliertes "kein Kommentar": "Jede Lücke ist anders", "die Qualitätssicherung kann sehr lange dauern" und "manchmal dauert es eben leider länger als im Idealfall" heißt es dazu in der Antwort auf die Anfrage von heise Security. Ob Microsoft damit auch bei den Kunden heutzutage noch durchkommt, wird sich zeigen.
(ju)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
