Kritik an langsamen Microsoft-Patches

wartezeit
03.04.2006

Jüngst wurde die Diskussion über die Sicherheit von Microsoft-Produkten durch eine Lücke im Internet Explorer neu angeregt. Microsoft warnt davor, auf Hilfestellungen von Drittanbietern zurückzugreifen, lässt aber selber noch mit einem Patch auf sich warten.

Dafür bieten immer öfter externe Anbieter und Entwickler Überbrückungslösungen an, die den Fehler beheben und dem Nutzer mehr Sicherheit geben sollen, bis eine Hilfestellung von Microsoft da ist.

Für die konkrete Explorer-Lücke gibt es seit vergangener Woche einen Patch des Security-Anbieters eEye Digital Security. Dieser soll sich automatisch deinstallieren, wenn Microsoft voraussichtlich am 11. April, dem nächsten monatlichen Patch-Day, selbst eine Lösung vorstellt.

Die Lücke

Der Patch schließt die jüngst entdeckte Lücke in der JavaScript-Funktion "createTextRange()". Seit seiner Entdeckung versuchen laut Websense bereits über 200 Websites Rechner mit Trojanern oder Spyware zu infizieren.

Hilfe muss schneller kommen

Während Microsoft selbst seine Nutzer vor dem Einsatz solcher Patches warnt, sehen Sicherheitsexperten eine dringende Notwendigkeit für schnellere Bugfixes.

Microsoft kann nicht garantieren, dass die Software-Updates von Drittanbietern im Restsystem keine Probleme verursachen.

Auch wenn Microsoft die Updates sorgfältig prüfen will, bevor sie veröffentlicht werden, muss das Unternehmen dennoch schneller werden, wenn es nach Branchenexperten geht.

Forderung nach "Beta-Patches"

EEye etwa fordert deshalb den Release von "Beta-Patches", die zumindest das Schlimmste verhindern sollen, bis eine endgültige Version da ist.

Laut Microsoft werde bereits daran gearbeitet, die Patch-Entwicklung zu beschleunigen. "Die große Verantwortung, die wir haben, ist es, auf unsere Kunden einzugehen. Und unsere Kunden bedeuten potenziell Hunderte Millionen von System-Konfigurationen", so Stephen Toulouse vom Microsoft Security Response Center.

Microsoft hatte kürzlich erst den Start seines nächsten Betriebssystems Windows Vista verschoben, um noch ausführlicher an der Sicherheit feilen zu können.

Umstieg auf alternative Browser

Die internationale Sicherheitsorganisation SANS etwa hat in der Vergangenheit den Nutzern bereits empfohlen, Patches von Drittanbietern einzuspielen.

Bei der aktuellen Sicherheitslücke im Internet Explorer wird jedoch geraten, auf alternative Browser wie Firefox und Opera umzusteigen, bis Microsoft das Loch gestopft hat.

Generell sei die Idee, dass sich die Nutzer selber helfen, wie es etwa auch in der Open-Source-Community der Fall ist, sehr löblich. Diese Vorgangsweise birgt jedoch immer Risiken: etwa, wenn ein "vorgetäuschter" Patch versucht, die Sicherheitslücke auszunutzen.

(futurezone | AP)