11.02.2004

OBACHT

Gravierende Windows-Sicherheitslücke

Microsoft hat drei - relativ - neue Sichheitslücken in seinen Produkten beschrieben und die entsprechenden Patches zur Verfügung gestellt.

Darunter befindet sich eine gravierende Sicherheitslücke, die fast alle Windows-Versionen betrifft. Allen Kunden wird daher "dringend" geraten, den entsprechenden Patch einzuspielen.

Die Sicherheitslücke in der Microsoft ASN.1 Library soll es Angreifern ermöglichen, beliebigen Code auf fremden Rechnern auszuführen [Security Bulletin MS04-007].

Daneben warnt der Konzern vor zwei weiteren, allerdings weniger kritischen Sicherheitslücken, die das Windows Internet Naming Service [WINS] und den Virtual PC for Mac betreffen.

Die Security Bulletins MS04-005 bis MS04-007

Problem seit Juli bekannt

Die Internet-Sicherheitsfirma eEye hat Microsoft schon im vergangenen Juli auf die Probleme mit der ASN.1 Library hingewiesen.

Marc Maiffret von eEye erklärte, vermutlich seien noch nie so viele Systeme durch einen Windows-Fehler bedroht gewesen. Durch die Lücke "kann man in Internet-Server eindringen, in interne Netzwerke, praktisch in jedes System", sagte Maiffret.

Der für Sicherheitsfragen zuständige Microsoft-Manager Stephen Toulouse sagte, es handle sich "um ein ausgesprochen tiefes und umfassendes" Problem.

Maiffret kritisierte, das Microsoft nach dem Hinweis seiner Firma sechs Monate brauchte, um einen Patch bereitzustellen und die Öffentlichkeit zu informieren. EEye habe auf eine Bekanntmachung unmittelbar nach der Entdeckung des Fehlers verzichtet, weil man Microsoft Zeit geben wollte, das Problem zu lösen, sagte er.

Es sei nicht bekannt, ob die Lücke bereits ausgenutzt wurde, erklärten beide Unternehmen übereinstimmend. EEye habe verschiedene Einbruchsmethoden aber an seinen eigenen Computern mit Erfolg getestet, sagte Maiffret.

Patch-Politik

Nach zahlreichen Attacken im Sommer 2003 und der aufkeimenden Kritik an den Sicherheitslücken und der Patch-Politik zu seinem Betriebssystem Windows hat Microsoft erst im letzten Herbst neue Sicherheitsmaßnahmen angekündigt.

Trotzdem werden viele Nutzer durch die Patch-Politik weiter irrrtiert:

So brachte der Konzern für den erst Anfang letzter Woche veröffentlichten Patch für den Internet Explorer [IE] am Samstag einen eigenen "Patch-Patch", der mögliche Probleme mit der Reihenfolge der Sicherheits-Updates beheben soll.

Microsoft will Sicherheit verbessern