Microsoft: Weitere kritische Lücken auf der To-Do-Liste
Die Zero-Day-Initiative hält eine Liste mit anstehenden Fehlerberichten zu Software-Lücken vor. Allein Microsoft ist auf der Liste mit 9 kritischen Lücken vertreten, für die es noch kein Update gibt.
- Daniel Bachfeld
Die von den Herstellern 3Com und TippingPoint ins Leben gerufene Zero Day Initiative hält auf ihren Seiten eine recht beeindruckende, für einige vielleicht auch bedrückende, Liste noch ausstehender Fehlerberichte vor. ZDI hält sich strikt an die Regeln der Responsible Disclosure und veröffentlicht Einzelheiten zu Schwachstellen erst, wenn ein Update zum Schließen der Lücke verfügbar ist.
Für 55 Lücken, über die die jeweiligen Hersteller größtenteils bereits vor mehr als zwei Monaten informiert wurden, stehen derzeit noch Updates aus. 49 dieser Lücken wurden von ZDI als schwerwiegend eingestuft – in der Regel kann ein Angreifer bei dieser Einstufung Code in ein System schleusen und starten. Allein Microsoft findet sich 11 mal auf der Liste, mit 9 kritischen Lücken – über eine davon wurden die Redmonder vor 201 Tagen informiert.
Auch der Sicherheitsdienstleister eEye hat auf seinen Seiten ein Liste von "Upcoming Advisories" veröffentlicht. Allerdings sind dort nur fünf Lücken zu finden, allein vier davon in Produkten von Microsoft. Inbesondere die Lücke in Publisher 2007 erinnert daran, dass auch noch eine mehrere Wochen alte, und bereits aktiv ausgenutzte Lücke in Word nicht geschlossen ist, der Patchday im März fiel ja leider aus. Man darf gespannt sein, ob Microsoft zusätzlich zum außerplanmäßigen heute Abend statt findenden Patchday noch einen regulären Patchday im April durchführt.
Siehe dazu auch:
- Upcoming ZDI Advisories, Übersicht kommender Fehlerberichte von ZDI
- Upcoming Advisories, Übersicht kommender Berichte von eEye
(dab)
