Hick-Hack um Lücke im Internet Explorer 7
Microsoft bezieht Stellung zur ersten gefundenen Schwachstelle im neuen Internet Explorer 7. Das Problem liege in einer Outlook-Express-Komponente und nicht im IE6 oder IE7. Secunia schätzt das etwas anders ein.
Die am gestrigen Donnerstag gemeldete erste Lücke im Internet Explorer 7, die seit etwa sechs Monaten für den IE6 bekannt ist, sorgt für einigen Hick-Hack. Erstmals äußerte sich jetzt Microsoft öffentlich dazu. Das Problem sei weder im Internet Explorer 6 noch im Internet Explorer 7 zu suchen, obwohl die Schwachstellendemonstration diese Browser als Angriffsvektor nutzt. Schuld sei vielmehr eine Outlook-Express-Komponente in Windows; man untersuche die Angelegenheit noch.
Thomas Christensen, CTO von Secunia, erklärte dazu in einer Antwort gegenüber heise Security: "Nur weil eine Schwachstelle von einer anderen Komponente stammt, entlässt das nicht den Internet Explorer oder irgendeine andere Software aus der Verantwortung, die einen direkten Angriffsvektor zu der verwundbaren Komponente öffnet."
Microsoft pflege schon seit langem eine Politik, alle möglichen Sicherheitslücken als Betriebssystemlücken einzustufen, für die aber der Internet Explorer der primäre oder einzige Angriffsvektor sei. Dies stifte Verwirrung und könnte dazu führen, dass Anwender und Administratoren die Probleme als weniger wichtig ansehen.
Während die Haltung aus Organisationssicht innerhalb von Microsoft vielleicht richtig sei, passe es nicht dazu, wie Anwender und Administratoren die Lücken wahrnehmen und wie sie sich vor dem Ausnutzen schützen. "Kurz gesagt, Secunia findet es nötig und wichtig, den Internet Explorer als anfällig einzustufen, wenn er eindeutig einen Angriffsvektor auf die anfällige Komponente liefert, die standardmäßig in einer neuen, sauberen Windowsinstallation mitgeliefert wird."
"Sich hinter einer Erklärung zu verstecken, dass bestimmte Lücken, die nur durch den Internet Explorer ausnutzbar sind, auf Outlook Express, Windows oder andere Windows-Kernkomponenten beruhen, scheint eher ein Weg zu sein, die Sicherheit des IE zu bewerben, anstatt sich hinzustellen und den Nutzern zu erklären, wo das wahre Risiko liegt, und die Verantwortung für die Lücken und Risiken im IE zu übernehmen, die dadurch zustandekommen, dass der IE so tief im System integriert mit anderen Komponenten verwoben ist."
Die WMF-Lücke, die Ende vergangenen Jahres für Wirbel sorgte, beruhte ebenfalls auf einer fehlerhaften Windows-Bibliothek. Auch hier war aber der Internet Explorer Haupteinfallstor für darauf beruhende Schädlinge.
Siehe dazu auch: (dmk)
- Information on Reports of IE 7 Vulnerability, Stellungnahme in Microsofts Sicherheits-Blog
- Erste Sicherheitslücke im Internet Explorer 7 [Update], Meldung auf heise Security
