Microsofts klammheimliche Sicherheit
Immer häufiger behebt Microsoft ganz im Stillen kritische Sicherheitslücken, ohne dass es dafür entsprechende Advisories gäbe.
Trustworthy Computing heißt das im Januar unter der Schirmherrschaft von Bill Gates angestrengte Vorhaben, Sicherheit bei Microsoft künftig größer zu schreiben. Seit dem ist viel passiert: Microsoft hat im vergangenen halben Jahr mehr Patches rausgebracht als je zuvor in einem vergleichbaren Zeitraum -- doch die Anwender haben trotzdem nach wie vor einigen Grund, skeptisch zu sein.
Offenbar geht Microsoft immer mehr dazu über, neue (und alte) Sicherheitslücken stillschweigend über Service-Packs zu beheben, ohne dass Anwender über Security-Advisories darüber informiert werden. Ein aktuelles Beispiel ist eine Sicherheitslücke im File Transfer Manager (FTM), den unter anderem Microsofts Betatester für den Dateitransfer verwenden. Die Betroffenen erhielten per E-Mail den Hinweis, dass ältere Versionen von FTM Sicherheitsprobleme aufwiesen, und die Empfehlung zum sofortigen Update auf die aktuelle Version 4.0. Allerdings fehlt bis heute ein Advisory, es sind nach wie vor keine Details zu der Sicherheitslücke bekannt. In der E-Mail an die Betatester hieß es lediglich, dass der Fehler es Angreifern erlaube, den Rechner des Opfers komplett zu übernehmen.
Genauso ging Microsoft beim Service Pack 3 für Windows 2000 vor: Klammheimlich wurden unabhängig voneinander mindestens drei Sicherheitslücken behoben, über die Microsoft nie ein Wort verlor. @stake brichtete in einem Advisory vom 16. August über ein Problem bei Hardlinks -- Windows 2000 wertet unter NTFS in Hardlinks enthaltene Pfadnamen nicht richtig aus, sodass Angreifer auf Dateien zugreifen können, ohne dass diese Zugriffe in der Überwachungs-Funktion (Auditing) gespeichert werden. Eine weitere heimlich gestopfte Sicherheitslücke betrifft den ActiveX-Viewer xweb.ocx, der über einen Buffer Overflow Angreifern gestattete, beliebige Kommandos auszuführen. Die dritte von Microsoft heimlich gestopfte Lücke schließlich betrifft den IIS bei der Behandlung von SSL-Zertifikaten -- ähnlich wie die Lücke auf der Browserseite, die Microsoft bislang noch untersucht. (pab)
