Microsoft warnt vor Bug, den Google fand

SicherheitSicherheitsmanagementSoftware

Das neue Microsoft Security Advisory ist eine Reaktion auf eine Veröffentlichung durch einen Google-Mitarbeiter zu einer »Zero-day-Lücke« in Windows XP und Windows Server 2003.

Das neue Microsoft Security Advisory 2219475 beschäftigt sich mit der Schwäche, die Googles Sicherheitsprofi Tavis Ormandy vor Kurzem in Full disclosure veröffentlichte.

Andere als die beiden genanntem Betriebssysteme seien nicht betroffen, versichert Microsoft.  Über die Windows-Hilfe und ein Cross-Site-Scripting-Leck darin konnten böswillige Hacker die Sicherheitsfunktionen der Software umgehen, beschreibt Microsoft genauer in seinem Security Research & Defense Blog. Darin wird klar gemacht, wie kompliziert das Hacken der Lücke eigentlich war, denn eigentlich seien die genannten Funktionen relativ sicher gewesen, und ein Exploit habe man trotz Ormandys Veröffentlichung bisher nicht gefunden.

Dennoch fixe man bald das Problem, denn Ormandys Code ist nun bekannt und ein Exploit, das ihn nutzt, könnte jetzt bald kommen. Doch da der Patch noch nicht fertig ist, empfiehlt Microsoft in seinem Advisory erst einmal einige Workarounds, unter anderem das Deaktivieren des hsp-Protokoll-Handlers.Der Hotfix, den Google bereitstellte, sei uneffektiv und immer noch unsicher.

Dies ist bereits die zweite Meldung Googles zu einem Microsoft-Bug . Sicherheitsexperten kritisieren die »vorschnelle Veröffentlichung« – Googles Sicherheitsleute würden Microsofts Prioritäten wohl absichtlich auf schnelle Umgehungen als auf sorgfältige Lösungen umlenken wollen. Doch wer sagt, dass der Wettkampf zwischen Microsoft und Google immer fair ablaufen muss? (Manfred Kohlen)

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen