ZDI benennt Sicherheitslücken bei Microsoft, IBM, HP, Novell

Vor einem halben Jahr kündigte die Zero Day Initiative (ZDI) an, man werde es nicht länger hinnehmen, dass sich Hersteller ewig Zeit nehmen, um Sicherheitslücken zu schließen. Nach spätestens 180 Tagen werde man die Informationen veröffentlichen. Nun haben sie ihr Versprechen wahr gemacht und einen Schwung von Informationen zu 22 überfälligen Sicherheitsproblemen auf einen Schlag veröffentlicht.

Die Firma ZDI zahlt Sicherheitsexperten Prämien für gefundene Sicherheitslücken, um diese Informationen als Erste nutzen zu können. Sie übernimmt dabei unter anderem die Aufgabe, diese Lücken bei den Herstellern zu melden, um dann möglichst gemeinsam mit diesen Informationen dazu zu veröffentlichen, wie man sie beheben kann. Doch die Hersteller ließen sich manchmal über ein Jahr Zeit, bis sie einen Patch bereitstellten und einer Veröffentlichung zustimmten. Weil diese übermäßig langen Zeiträume eine unnötige Gefahr für die Anwender bedeuten, hat das ZDI angekündigt, dass man künftig nach spätestens 180 Tagen mit den Informationen an die Öffentlichkeit gehen wolle.

Die nun veröffentlichten 22 Sicherheitslücken betreffen die Hersteller Microsoft, IBM, Novell, CA, EMC und interessanterweise auch HP, denen ZDI letztlich gehört. Anfällige Produkte sind unter anderem Lotus/Notes, Powerpoint und Excel. Es empfiehlt sich, diese Lücken sehr ernst zu nehmen, denn ZDI überprüft normalerweise sorgfältig, ob es sich tatsächlich um ein Sicherheitsproblem handelt; in der Regel muss der Entdecker der Lücke für die volle Prämie auch einen Demo-Exploit liefern. Bei einigen Lücken gibt die Firma sogar den höchsten Schweregrad 10 im Common Vulnerability Scoring System (CVSS) an.

Mit dem "Geschäft mit den Bugs" und somit auch mit dem Geschäftsmodell der Zero Day Initiative beschäftigt sich auch ein Artikel in der c't-Ausgabe 5/11, die Abonnenten Samstag im Briefkasten vorfinden sollten.

• ZDI-11-061 Replication Manager Client irccd.exe Remote Code Execution Vulnerability
• ZDI-11-060 Novell eDirectory Malformed NCP Request Denial of Service Vulnerability
• ZDI-11-059 CA ETrust Secure Content Manager Common Services Transport Remote Code Execution Vulnerability
• ZDI-11-058 SCO Openserver IMAP Daemon Long Verb Parsing Remote Code Execution Vulnerability
• ZDI-11-057 Hewlett-Packard Data Protector Cell Manager Service Authentication Bypass Vulnerability
• ZDI-11-056 Hewlett-Packard Data Protector Client EXEC_SETUP Remote Code Execution Vulnerability
• ZDI-11-055 Hewlett-Packard Data Protector Client EXEC_CMD Perl Remote Code Execution Vulnerability
• ZDI-11-054 Hewlett-Packard Data Protector Client EXEC_CMD omni_chk_ds.sh Remote Code Execution Vulnerability
• ZDI-11-053 Lotus Domino Server diiop getEnvironmentString Remote Code Execution Vulnerability
• ZDI-11-052 Lotus Domino Server diiop Client Request Operation Remote Code Execution Vulnerability
• ZDI-11-051 IBM Lotus Notes cai URI Handler Remote Code Execution Vulnerability
• ZDI-11-050 IBM Informix Dynamic Server SET ENVIRONMENT Remote Code Execution Vulnerability
• ZDI-11-049 IBM Lotus Domino SMTP Multiple Filename Arguments Remote Code Execution Vulnerability
• ZDI-11-048 IBM Lotus Domino iCalendar Meeting Request Parsing Remote Code Execution Vulnerability
• ZDI-11-047 IBM Lotus Domino LDAP Bind Request Remote Code Execution Vulnerability
• ZDI-11-046 IBM Lotus Domino Calendar Request Attachment Name Parsing Remote Code Execution Vulnerability
• ZDI-11-045 IBM Lotus Domino IMAP/POP3 Non-Printable Character Expansion Remote Code Execution Vulnerability
• ZDI-11-044 Microsoft PowerPoint 2007 OfficeArt Atom Remote Code Execution Vulnerability
• ZDI-11-043 Microsoft Excel 2007 Office Drawing Layer Remote Code Execution Vulnerability
• ZDI-11-042 Microsoft Office Excel Axis Properties Record Parsing Remote Code Execution Vulnerability
• ZDI-11-041 Microsoft Office Excel Office Art Object Parsing Remote Code Execution Vulnerability
• ZDI-11-040 Microsoft Office Excel 2003 Invalid Object Type Remote Code Execution Vulnerability

(ju)