Menü

Microsoft: Meine Lücken schließ' ich nicht

Sicherheitsexperten geben Details zu Lücken in Internet Explorer heraus, weil Microsoft die Lücken nicht schließen will.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 203 Beiträge
Von

Im Security Research Blog haben HP-Mitarbeiter entgegen ihrer Gepflogenheiten Details ihrer Forschungen zu Lücken im Internet Explorer veröffentlicht. Die Sicherheitsexperten der HP Zero Day Initiative hatten sich bisher an die Regeln ihres eigenen "vulnerability-disclosure"-Programms gehalten und ihre Forschungsergebnisse zu den IE-Lücken bereits 2014 an Microsoft weitergegeben. Als Anerkennung dafür gabe es die von Microsoft im Rahmen des Programms Mitigation Bypass Bounty ausgelobten 125.000 Dollar. Nach Ablauf der 120 Tage des üblichen Stillhalteabkommens hatte die HP ZDI im Februar 2015 die gefundenen Lücken bekanntgegeben, jedoch ohne Details.

Nun habe ihnen Microsoft mitgeteilt, dass man nicht vorhabe, diese Lücken, die mit dem Fehler in der Address Space Layout Randomization (ASLR) zu tun haben, zu schließen. Die Sicherheitsexperten der ZDI hätten schon einige Erfahrungen damit gesammelt, was passiere, wenn man einem großen Unternehmen mitteilt, dass sein Flaggschiff ein Problem aufweist. Es sei wohl so ähnlich, als wenn man stolzen Eltern sagt, ihr Baby sei hässlich.

Da sie glauben, diese Lücken gefährden das Internet, sehen sie sich gezwungen, an die Öffentlichkeit zu gehen. Microsoft begründe seine Weigerung mit zwei Argumenten: Erstens würden 64-Bit-Versionen des IE durch ASLR gut geschützt und zweitens habe die mit dem Patch MS14 vom Juli 2014 installierte MemoryProtection zu einer signifikant sinkenden Missbrauchsrate beim IE geführt.

Dem halten die Experten der Zero Day Initiative entgegen, dass eben die 32-Bit-Versionen des IE betroffen sei und es von der Millionen von Installationen gäbe. Und so bleibe der Internet Explorer weiter ein bevorzugtes Ziel der Angreifer. Ob nun die genaue Beschreibung der Exploits in einem White Paper Microsoft zum Nachbessern bewegt, bleibt abzuwarten. (bb)