Der Handel mit Informationen zu Sicherheitslücken

Nachdem im Internet ein Exploit für eine beim Juni-Patchday gestopfte Dial-Up-Sicherheitslücke veröffentlicht wurde, wiederholt Microsoft in einem Security Advisory ausdrücklich seinen Ratschlag an die Nutzer, Sicherheits-Updates vorzugweise über den automatischen Windows-Update-Mechanimus einzuspielen. Microsoft seien bislang keine Angriffe mittels des Exploits bekannt, man beobachte jedoch die Situation und werde die Nutzer falls erforderlich informieren. Für Nutzer, die das Sicherheitsupdate MS06-025 installiert haben, bestehe keine Gefährdung. Pikanterweise hatte der Patch selbst bei einigen Dial-Up-Nutzern Probleme verursacht.

Im Security Advisory attackiert Microsoft, ohne Namen zu nennen, die Sicherheits-Experten, die den Exploit veröffentlicht haben, und mahnt einen verantwortungsvollen Umgang mit Informationen zu Sicherheitsanfälligkeiten an: "Microsoft ist enttäuscht, dass bestimmte Sicherheits-Forscher die in der Industrie allgemein akzeptierte Praxis, Informationen zu Sicherheitlücken nicht zeitnah zu einem Update preiszugeben, verletzt und Exploit-Code veröffentlicht haben, der Computer-Nutzern Schaden zufügen kann. Wir ermahnen Sicherheit-Forscher zum wiederholten Male, Informationen zu Sicherheitslücken verantwortungsvoll zu veröffentlichen, damit die Nutzer Zeit haben, die Updates einzuspielen, und sie nicht Kriminellen bei ihren Versuchen helfen, Vorteile aus Software-Schwachstellen auszunutzen", kritisiert Microsoft.

Informationen zu Sicherheitslücken als wertvolle Handelsware

HD Moore, einer der beiden Exploit-Autoren, schätzt die Lage anders ein. Ein Zeitraum von neun Tagen von der Veröffentlichung des Updates am 13. Juni bis zur Exploit-Veröffentlichung am 22. Juni sei in der Security-Welt eine erhebliche Verzögerung. Eine so lange "Gnadenfrist" werde kaum noch einem Hersteller zugestanden, erklärt Moore in einem detailreichen Blog-Eintrag. Die von Microsoft beschworene "in der Industrie allgemein akzeptierte Praxis", Informationen zu Sicherheitslücken zurückzuhalten, existiere seiner Erfahrung nach nicht. Moore zeichnet vielmehr das Gegenbild einer Sicherheits-Industrie, für die Informationen zu Sicherheitslücken wertvolle Ware ist, mit der keineswegs transparent gehandelt werde: "Verisign bezahlt für exklusive Informationen zu neuen Sicherheitslücken und verkauft eine limitierte Ausgabe davon an seine Abonnenten. Digital Armaments bezahlt für exklusive Schwachstellen-Informationen und teilt die Daten mit seinen Mitgliedern. Immunity verkauft Zugang zu Exploits und Schwachstellen-Informationen oft noch bevor der Hersteller benachrichtigt wurde", kontert Moore.

Sicherheitslücke im Windows Live Messenger

Kaum eine Woche nach der Veröffentlichung der Final-Version des Windows Live Messenger wurde jetzt die erste Sicherheitslücke in Microsofts Messaging-Programm bekannt. Wie auf Security Tracker berichtet wird, kann über eine manipulierte Kontaktlisten-Datei (.ctt) ein Speicherüberlauf provoziert und beliebiger Code auf dem System ausgeführt werden. Für diese Schwachstelle ist noch kein Sicherheits-Patch verfügbar. Live Messenger-Nutzer sollten deshalb nur Kontaktlisten-Dateien aus vertrauenswürdigen Quellen importieren.