Microsoft-Lücken: mal Full Disclosure, mal Null Disclosure

Nach Full Disclosure hat Microsoft mit einer weiteren Variante der Offenlegung von Informationen zu kämpfen: Null Disclosure. So hat der französische Sicherheitsdienstleister VUPEN zwar proklamiert, im gerade erst veröffentlichten Office 2010 zwei kritische Sicherheitslücken gefunden zu haben, genauere Informationen und Schutzempfehlungen bislang aber nur an seine eigenen Kunden weitergegeben. Microsoft wolle man vorerst keine Informationen zukommen lassen, schließlich sei die Gegenleistung – die Erwähnung in den Credits der Security Bulletins – zu wenig.

Zu den Kunden von VUPEN gehören Regierungsbehörden und andere Hersteller, für die eine "private responsible disclosure policy" gelte, so VUPEN-CEO Chaouki Bekrar in einer Stellungnahme gegenüber heise Security. Man gebe keine Informationen an die Öffentlichkeit weiter, bis es einen Patch gebe.

Ob es die aber für die Office-Lücken gibt, hängt dann wohl von den Redmondern ab und ob diese gewillt sind, für die Informationen zu zahlen. VUPEN hat nach eigenen Angaben in den vergangenen Jahren freiwillig und kostenlos zahlreichen Herstellern bei der Beseitigung von Lücken geholfen. Allein in diesem Jahr habe man noch 130 Lücken in Microsoft-Produkten nach Redmond gemeldet. Dies sei nun aber nicht mehr sinnvoll. "Warum sollten Sicherheitsdienstleister ihre Informationen kostenlos zur Verfügung stellten, um kostenpflichtige Programme sicherer zu machen?", fragt Bekrar.

Gerade bei Office 2010 habe man sehr viel Arbeit investiert, um Sicherheitslücken aufzuspüren. Konkret sollen die Lücken in Word und Excel zu finden sein und das Einschleusen von Code ermöglichen. Zwar sei Office 2010 sicherer als seine Vorgänger, trotzdem ließe sich die Datenausführungsverhinderung, Protected View und die Office File Validation austricksen. Die Tricks habe man bereits zum Schreiben zuverlässiger Exploits für Office 2007 verwendet.

Neben VUPEN praktiziert auch der US-Sicherheitsdientsleister Immunity Sec Null Disclosure und versorgt seine Kunden mit Zero-Day-Exploits, ohne Microsoft zu informieren. Anders macht es beispielsweise die Zero Day Initiative von Tipping Point. Sie kauft Informationen auf, arbeitet sie in ihre Signaturen für Intrusion-Detection-Systeme ein und gibt die Infos dann gratis an die betroffenen Hersteller weiter.

Neben der Office-Front hat Microsoft noch an anderen Stellen zu kämpfen: Eine Gruppe unbekannter Entwickler hat Microsofts Kritik an der letzten Veröffentlichung von Tavis Ormandy zum Anlass genommen, die Microsoft-Spurned Researcher Collective (MSRC, in Anlehnung Microsoft Security Response Center) zu gründen. Dies will künftig Lücken à la Full Disclosure veröffentlichen und praktiziert dies sogleich mit einer Lücke zur Rechteausweitung unter Windows. Betroffen sind nach bisherigen Erkenntnissen Windows Vista und Windows Server 2008.

Daneben gibt es Berichten des Sicherheitsdienstleisters Secunia zufolge einen Buffer Overflow in der (VC++6-)Windows-Laufzeitkomponente mfc42.dll in der Funktion UpdateFrameTitleForDocument. Bislang ist aber nur eine Anwendung bekannt, bei der sich der Fehler provozieren lässt: PowerZip 7.2 Build 4010 unter Windows 2000 und XP. Weitere Einzelheiten und mögliche Angriffsszenarien gibt es nicht. Microsoft geht der Sache laut Twitter jedoch nach. (dab)