08.07.2010, 10:24 Uhr
Noch mehr Löcher in Microsofts Software
Sicherheitsexperten haben weitere Löcher in Microsoft-Programmen entdeckt. Sie kritisieren zudem die verhaltene Patch-Praxis des Software-Riesen.
Microsoft muss sich derzeit mit einer Reihe von noch ungepatchten Sicherheitslücken in seinen Programmen herumschlagen. Sie wurden unter anderem von einer neu gegründeten Gruppe von enttäuschten Sicherheitsexperten namens Microsoft-Spurned Researcher Collective (MSRC) präsentiert, die im gleichen Atemzug damit auch Kritik an Microsofts Patch-Praxis üben.
So hat Soroush Dalili, einer der von Microsoft zurückgewiesenen Experten, eine Lücke im Webserver Internet Information Services (IIS) beschrieben. Durch das Loch, das in älteren IIS-Versionen besteht, kann die Authentifizierung des Systems umgangen werden - ein regelrechtes Einfallstor für Hacker.
Der Fehler kann laut Dalili in IIS 5.1 ausgenutzt werden, nicht aber in den neueren Versionen IIS 6, 7, und 7.5.
Dereil hat Ruben Santamarta, der für die spanische Sicherheitsfirma Wintercore arbeitet, eine Schwachstelle im Webbrowser Internet Explorer 8 (IE8) von Microsoft entdeckt und gleich auch anhand von Angriffscode, bewiesen, wie die Lücke ausgenutzt werden kann. Mit dem Code lassen sich die beiden von Microsoft installierten Abwehrverfahren DEP (Data Execution Prevention) und ASLR (Address Space Layout Randomization) umgehen.
Die beiden Lücken werden von Microsoft heruntergespielt. So meint Microsoft-Manager Jerry Bryant zur undichten Stelle in IIS, dass man nur verwundbar sei, wenn man die Standardeinstellungen von IIS verändere. Auch die DEP- und ASLR-Umgehungen verniedlicht Bryant. Diese funktionierten nicht direkt, sondern nur in Verbindung mit einer weiteren Verwundbarkeit, so das Argument.
Zwei Löcher in Microsoft Office
Daneben hat die französiche Sicherheitsfirma Vupen zwei kritische Fehler in Microsoft Office gefunden. Diese würden aber nur an Kunden ausgegeben, melden die Sicherheitsexperten. Nur einen Nennung in Microsofts Sicherheits-Anweisung scheint den Entdeckern der Schwachstellen nicht genug zu sein. Von daher wolle man die Details zweier kritischer Sicherheitslücken in Microsoft Office 2010 nicht an Microsoft weitergeben.
Vupen war früher als Frsirt bekannt und hat unter anderem die Regierung als Kunden. Man wolle mit den gefundenen Lücken allerdings verantwortungsvoll umgehen und keine Details veröffentlichen, so lange es keine Flicken dafür gibt. Ein Patch hängt aber wohl davon ab, wie viel Microsoft die Informationen wert sind. Vupen sagte, dass man allein in diesem Jahr schon 130 Fehler kostenlos an Microsoft gemeldet habe. Das Fass sei aber nun voll und man möchte für die Mühen entlohnt werden.
