ZDI benennt Sicherheitslücken bei Microsoft, IBM, HP, Novell

Nach Ablauf der 180 Tage Schonfrist hat die Zero Day Inititative wie angekündigt einen Schwung von Informationen über 22 Sicherheitslücken veröffentlicht, für die die Hersteller keinen Patch bereit gestellt haben.

In Pocket speichern vorlesen Druckansicht 15 Kommentare lesen
Lesezeit: 4 Min.

Vor einem halben Jahr kündigte die Zero Day Initiative (ZDI) an, man werde es nicht länger hinnehmen, dass sich Hersteller ewig Zeit nehmen, um Sicherheitslücken zu schließen. Nach spätestens 180 Tagen werde man die Informationen veröffentlichen. Nun haben sie ihr Versprechen wahr gemacht und einen Schwung von Informationen zu 22 überfälligen Sicherheitsproblemen auf einen Schlag veröffentlicht.

Die Firma ZDI zahlt Sicherheitsexperten Prämien für gefundene Sicherheitslücken, um diese Informationen als Erste nutzen zu können. Sie übernimmt dabei unter anderem die Aufgabe, diese Lücken bei den Herstellern zu melden, um dann möglichst gemeinsam mit diesen Informationen dazu zu veröffentlichen, wie man sie beheben kann. Doch die Hersteller ließen sich manchmal über ein Jahr Zeit, bis sie einen Patch bereitstellten und einer Veröffentlichung zustimmten. Weil diese übermäßig langen Zeiträume eine unnötige Gefahr für die Anwender bedeuten, hat das ZDI angekündigt, dass man künftig nach spätestens 180 Tagen mit den Informationen an die Öffentlichkeit gehen wolle.

Die nun veröffentlichten 22 Sicherheitslücken betreffen die Hersteller Microsoft, IBM, Novell, CA, EMC und interessanterweise auch HP, denen ZDI letztlich gehört. Anfällige Produkte sind unter anderem Lotus/Notes, Powerpoint und Excel. Es empfiehlt sich, diese Lücken sehr ernst zu nehmen, denn ZDI überprüft normalerweise sorgfältig, ob es sich tatsächlich um ein Sicherheitsproblem handelt; in der Regel muss der Entdecker der Lücke für die volle Prämie auch einen Demo-Exploit liefern. Bei einigen Lücken gibt die Firma sogar den höchsten Schweregrad 10 im Common Vulnerability Scoring System (CVSS) an.

Mit dem "Geschäft mit den Bugs" und somit auch mit dem Geschäftsmodell der Zero Day Initiative beschäftigt sich auch ein Artikel in der c't-Ausgabe 5/11, die Abonnenten Samstag im Briefkasten vorfinden sollten.

(ju)