Microsoft kannte kritische 0-Day-Lücke seit über zwei Jahren
Erst nachdem sie aktiv ausgenutzt wurde, ging es auf einmal schnell und innerhalb eines Monats stand der Patch bereit.
Wie sich jetzt herausstellt, war die beim vorigen Patchday geschlossene, kritische Sicherheitslücke in der Office-Webkomponente (OWC) Microsoft bereits seit über zwei Jahren bekannt. Erst nachdem sie aktiv ausgenutzt wurde, ging es auf einmal schnell und innerhalb eines Monats stand der Patch bereit.
Bereits im März 2007 meldete die Zero Day Initiative (ZDI) das von Peter Vreugdenhil entdeckte Sicherheitsproblem bei Microsoft. Die ZDI erklärte den Zuständigen, dass speziell präparierte Parameter beim Aufruf msDataSourceObject() zu Fehlern in der Speicherverwaltung führen, die ein Angreifer ausnutzen kann, um Code einzuschleusen und auszuführen. Daraufhin passierte offenbar erst einmal lange Zeit nichts – jedenfalls nichts, was die Anwender vor den Konsequenzen dieses Sicherheitsproblems geschützt hätte.
Die ZDI bestätigte die in ihrem gestern veröffentlichten Advisory angegebenen Datumsangaben. "Sie [Microsoft] benötigten immer wieder mehr Zeit, um sicherzustellen, dass das Problem wirklich richtig behoben wird", erklärte ZDI-Manager Pedram Amini gegenüber heise Security. Und es sei nun mal eine Richtlinie der ZDI, dass man dem Hersteller so viel Zeit gebe, wie er benötige.
Das Verhalten des Software-Riesen änderte sich schlagartig Anfang Juli, als bekannt wurde, dass genau diese Lücke im Internet aktiv ausgenutzt wurde, um Windows-Anwendern Schadcode unterzujubeln. Plötzlich gab Microsoft ein Advisory zu der Schwachstelle heraus und kündigte schnellstmögliche Gegenmaßnahmen an. Die kulminierten dann in weniger als einem Monat in einem Patch, der in MS09-043 einfloss und am Dienstag im Rahmen des August-Pachtdays veröffentlicht wurde.
Von Microsoft gab es auf die Frage, warum das Unternehmen für den Patch zuerst so viel Zeit benötigt habe und der Konzern dann doch recht zügig reagierte, ein verklausuliertes "kein Kommentar": "Jede Lücke ist anders", "die Qualitätssicherung kann sehr lange dauern" und "manchmal dauert es eben leider länger als im Idealfall" heißt es dazu in der Antwort auf die Anfrage von heise Security. Ob Microsoft damit auch bei den Kunden heutzutage noch durchkommt, wird sich zeigen. (ju)
