Microsoft weigert sich, kritische IE-Lücke zu schliessen

HP-Mitarbeiter haben in ihremSecurity Research Blog Sicherheitslücken im Internet Explorer öffentlich gemacht, nachdem HP diese schon 2014 den Redmondern gemeldet hatte. HP hat sich dabei an das ordentliche Stillhalteabkommen von 120 Tagen gehalten. Nun hat Microsoft HP mitgeteilt, dass man nicht beabsichtige, die alten Lücken in der 32-Bit-Version des Internet Explorers zu schliessen.

Im Detail klafft dort eine sogenannte ASLR-Sicherheitslücke: Mit der Präventionstechnik ASLR sorgt das Windows-Betriebssystem für zufällige Adressbereiche und verhindert damit eine klare Zuordnung von Speicherbereichen der laufenden Prozesse. Das erschwert Angreifern das Einschleusen von Exploits. Der Grund, wieso HP so lange mit der Bekanntgabe der Sicherheitslücke zugewartet haben könnte, dürfte auch dem Umstand geschuldet sein, dass es immer eine peinliche Angelegenheit sein mag, einem Grosskonzern ein gewichtiges Problem einer zentralen Software-Komponente nahezulegen.

Microsoft sieht sich offensichtlich nicht gezwungen, die vorhandenen IE-Lücken zu schliessen. Grund: Die 64-Bit-Version sei sicherer. Diese Begründung ist aber ein wenig sehr trivial: Die 64-Bit-Version des Browsers profitiert in der Tat von einem grösseren Speicheradressierungsbereich als ein 32-Bit-System. Das liegt nun mal in der Natur der Sache. Damit wird aber ein Problem nicht aus dem Weg geschafft: Laut der HP ZDI nutzen immer noch Millionen Anwender die 32-Bit-Versionen des IE. Genau diese Browser-Version dürfte nun zu einem erklärten Ziel von Angreifern werden. Solange noch nicht klar ist, ob Microsoft nachbessert, sollten Anwender, die noch mit dem 32-Bit-Browser von Microsoft unterwegs sind, so schnell wie möglich auf einen alternativen Browser wie Chrome, Firefox oder Opera ausweichen.