Zero-Day-Lücken werden schneller gestopft

Der Hype um so genannte Zero-Day-Lücken hat auch seine guten Seiten. Die betroffenen Software-Entwickler werden durch den öffentlichen Druck zu schnellermn Handeln gezwungen und die bereit gestellten Updates werden eher als sonst üblich installiert. Dies zeigen die gerade veröffentlichten Ergebnisse einer Untersuchung des Sicherheitsexpertem Qualys.

Wolfgang Kandek, als Qualys-CTO verantwortlich für IT-Sicherheit, hat die Untersuchungen an mehreren 100'000 PCs analysiert. Dabei hat er entdeckt, dass Sicherheits-Updates für Windows im Durchschnitt 15 Tage nach ihrer Bereitstellung auf 50 Prozent der Rechner installiert worden sind. Bei Zero-Day-Lücken, über die Medien viel berichten, beträgt diese Halbwertszeit hingegen nur neun bis zehn Tage. Von Zero-Day-Lücken spricht man, wenn ein Exploit verfügbar ist, bevor der Software-Hersteller ein Update veröffetnlicht hat.

Als Beispiele nennt Kandek zwei Sicherheits-Updates für den Internet Explorer (IE) im Dezember 2009 und Januar 2010. Das IE-Update im Dezember wurde von Microsoft im Rahmen den monatlichen Patch Day ausgeliefert. Die Halbwertszeit betrug zehn Tage. Im Januar hat Microsoft einen IE-Patch ausser der Reihe bereit gestellt, der sogar eine Halbwertszeit von neun Tagen erreicht hat.

Microsoft empfiehlt allgemein Sicherheits-Updates binnen 30 Tagen zu installieren. Bis dahin seien meist Exploits verfügbar, um die entsprechenden Sicherheitslücken auszunutzen. Kandek hat jedoch beobachtet, dass etliche Unternehmen diese Frist überschreiten oder die Updates gar nicht installieren, wofür er kein Verständnis habe.

In der letzten Woche hat Microsoft zum zweiten Mal in diesem Jahr ausserhalb des Patch-Day-Zyklus ein kumulatives Sicherheits-Update für den Internet Explorer bereit gestellt. Zahlen darüber, wie schnell dieses Update installiert wird, liegen noch nicht vor.