Microsoft patcht weiter heimlich

Microsofts Updates enthalten regelmäßig Fixes für Sicherheitslücken, die nicht in den Bulletins aufgeführt sind. Diese "silent Updates", wie sie in der Security-Community schon seit Längerem genannt werden, verteidigt Microsoft in einem Blog-Beitrag des Teams für Security Research & Defense.

Wenn ein sicherheitsrelevanter Fehler behoben wird, untersucht das Security-Team nicht nur den benachbarten Code nach weiteren Lücken, sondern versucht auch, ähnliche Fehler an anderen Stellen aufzufinden. Dazu wird dann schon auch mal ein Fuzzer auf das fragliche Programm losgelassen. Diese Fundstellen bezeichnet Microsoft dann als "Varianten"; sie werden ohne viel Aufhebens entschärft. Allerdings gehen die Erkenntnisse in die Bewertungen der Bulletins ein. So kommt es durchaus vor, dass Microsoft wegen einer nicht öffentlich gewordenen Variante etwa den Exploitability Index anhebt.

Diese Sicherheitslücken tauchen dann auch nicht in der Datenbank für Common Vulnerabilities and Exposures (CVE) auf, die häufig Grundlage für vergleichende Studien ist. Microsoft begründet die Tatsache, dass sie für die "Varianten" keine CVE-Nummern beantragen, damit, dass es sich beim CVE-Projekt um eine Liste von "öffentlich bekannten" Sicherheitslücken handelt. Aber gerade das träfe für die intern gefundenen Sicherheitsprobleme nicht zu.

Ein weiterer Zeitpunkt, zu dem Microsoft bekanntermaßen stillschweigend Sicherheitslücken schließt, sind übrigens große Sammel-Updates, wie das bald anstehende Service Pack 1 für Windows 7. Die bereits ins Internet gesickerten RTM-Versionen werden unter anderem auf diesen Aspekt hin bereits unter die Lupe genommen. Unabhängig von der Bewertung von Microsofts Vorgehensweise macht der Blog-Eintrag jedenfalls erneut klar, dass Studien, die CVE-Einträge benutzen, nur sehr begrenzte Aussagen zur Sicherheit von Software erlauben. (ju)