SMB2-Lücke offenbar schon länger bei Microsoft bekannt

Microsoft kannte offenbar die am Patchday behobene SMB2-Sicherheitslücke in Vista und Server 2008, bevor sie ein unabhängiger Sicherheitsexperte entdeckte und Anfang September publizierte. Dies kam ans Licht, als Security-Development-Lifecycle-Chef Michael Howard am gestrigen Donnerstag in Microsofts SDL-Blog erklärte, dass der Fehler "sehr spät im Windows-7-Entwicklungsprozess gefunden" und daher in der Final-Fassung bereits behoben wurde.

Anscheinend wollte Howard lediglich erklären, wieso laut dem ersten öffentlichen Fehlerbericht im September auch Windows 7 von der Lücke im Netzwerk-Stack betroffen sein sollte, sich aber schnell herausstellte, dass dies nur bei den Release Candidates der Fall war. Weil Windows 7 Final jedoch seit Anfang August zum Download bereitsteht, kannte Microsoft den Bug spätestens seit Juli. Metasploit-Entwickler HD Moore provozierte prompt auf Twitter: "Und wieso haben sie [den Patch] nicht gleich auch auf Vista/2008 zurückportiert?" Der Fuzzing-Experte Charlie Miller antwortete sogleich: "Sie müssen angenommen haben, dass es niemand herausfinden würde, oops."

Über die wahren Hintergründe kann man freilich nur spekulieren, doch der Vorfall bestätigt die These, dass von Microsoft entdeckte Programmierfehler zunächst auf einer geheimen Liste landen, die nur mit niedriger Priorität abgearbeitet wird, solange die Bugs nicht öffentlich bekannt sind. Sicherheits-Updates erfordern in der Regel umfangreiche Testprozeduren, weil es unter den Millionen von Systemen zu schwer vorhersehbaren Problemen kommen kann. Solche Tests lassen sich bei in der Entwicklung befindlichen oder noch nicht offiziell veröffentlichten Produkten wie Windows 7 sehr viel knapper halten. In der Branche ist es außerdem nicht unüblich, hausintern gefundene Sicherheitslücken im Stillen zu schließen, um kein Aufsehen zu erregen. (cr)