zurück zum Artikel

Microsofts klammheimliche Sicherheit

Patrick Brauch

Immer häufiger behebt Microsoft ganz im Stillen kritische Sicherheitslücken, ohne dass es dafür entsprechende Advisories gäbe.

Trustworthy Computing [1] heißt das im Januar unter der Schirmherrschaft von Bill Gates angestrengte Vorhaben, Sicherheit bei Microsoft künftig größer zu schreiben. Seit dem ist viel passiert: Microsoft hat im vergangenen halben Jahr mehr Patches rausgebracht als je zuvor in einem vergleichbaren Zeitraum -- doch die Anwender haben trotzdem nach wie vor einigen Grund, skeptisch zu sein.

Offenbar geht Microsoft immer mehr dazu über, neue (und alte) Sicherheitslücken stillschweigend über Service-Packs zu beheben, ohne dass Anwender über Security-Advisories darüber informiert werden. Ein aktuelles Beispiel ist eine Sicherheitslücke im File Transfer Manager (FTM), den unter anderem Microsofts Betatester für den Dateitransfer verwenden. Die Betroffenen erhielten per E-Mail den Hinweis, dass ältere Versionen von FTM Sicherheitsprobleme aufwiesen, und die Empfehlung zum sofortigen Update auf die aktuelle Version [2] 4.0. Allerdings fehlt bis heute ein Advisory, es sind nach wie vor keine Details zu der Sicherheitslücke bekannt. In der E-Mail an die Betatester hieß es lediglich, dass der Fehler es Angreifern erlaube, den Rechner des Opfers komplett zu übernehmen.

Genauso ging Microsoft beim Service Pack 3 für Windows 2000 vor: Klammheimlich wurden unabhängig voneinander mindestens drei Sicherheitslücken behoben, über die Microsoft nie ein Wort verlor. @stake [3] brichtete in einem Advisory [4] vom 16. August über ein Problem bei Hardlinks -- Windows 2000 wertet unter NTFS in Hardlinks enthaltene Pfadnamen nicht richtig aus, sodass Angreifer auf Dateien zugreifen können, ohne dass diese Zugriffe in der Überwachungs-Funktion (Auditing) gespeichert werden. Eine weitere heimlich gestopfte Sicherheitslücke betrifft den ActiveX-Viewer xweb.ocx, der über einen Buffer Overflow Angreifern gestattete, beliebige Kommandos auszuführen. Die dritte von Microsoft heimlich gestopfte Lücke schließlich betrifft den IIS bei der Behandlung von SSL-Zertifikaten -- ähnlich wie die Lücke auf der Browserseite [5], die Microsoft bislang noch untersucht [6]. (pab)

URL dieses Artikels:
https://www.heise.de/-57328

Links in diesem Artikel:
[1] https://www.heise.de/news/Gates-Sicherheit-hat-Vorrang-46662.html
[2] http://transfers.one.microsoft.com/ftm/install/HomeNN.asp
[3] http://www.atstake.com
[4] http://www.atstake.com/research/advisories/2000/a081602-1.txt
[5] https://www.heise.de/news/Browser-Sicherheitsluecke-bei-SSL-Zertifikaten-68591.html
[6] https://www.heise.de/news/Luecke-bei-SSL-Zertifikaten-KDE-korrigiert-Microsoft-untersucht-69138.html

Copyright © 2002 Heise Medien