Kritik an heimlichem Microsoft-Update

Experten der Sicherheitsfirma Core Security üben scharfe Kritik an der Update-Praxis von Microsoft. Das Unternehmen habe mit den im April ausgespielten Aktualisierungen des Updates MS10-24 zwei kritische Sicherheitslücken geschlossen, ohne sie korrekt zu veröffentlichen. Standardgemäß werden Sicherheitslücken im Rahmen der "Common Vulnerabilities and Exposures" (CVE) bekannt gemacht, eine Datenbank, die die Sicherheitslücken auflistet und beschreibt. So werden Informationen zu den Schwachstellen gesammelt und verfügbar gemacht. Eine Sicherheitslücke erhält damit eine eindeutige CVE-Kennung und lässt sich so identifizieren. Wie The Register berichtet, wirft Nicolás Economou von Core Security Microsoft vor, eine Sicherheitslücke nur am Rande, eine weitere gar nicht erwähnt zu haben - obwohl sie die Kunden einem hohen Sicherheitsrisiko aussetzen. Economou zufolge können Angreifer auf Basis der Lücken E-Mails abfangen, die Nutzer per Exchange oder Windows-SMTP-Service schicken. Das Microsoft-Security-Bulletin zum Patchday sprach dagegen lediglich von einem Denial-of-Service-Fehler, den Microsoft nur als "wichtig" oder "moderat" einstufte. Core Security kritisiert, dass Administratoren auf Basis des unvollständigen Bulletins möglicherweise falsche Entscheidungen treffen, weil sie eine aktuelle Bedrohung nicht erkennen.

Microsoft hat in einem Statement auf die Vorwürfe reagiert und rechtfertigt sich damit, dass man vorhandene Schwachstellen im Security Bulletin nicht in allen Details darlege. Keine der Varianten der beschriebenen Bedrohungen sei kritischer einzustufen als im Bulletin dargelegt. Core Security zufolge handelt es sich jedoch bei den Lücken nicht um Details, sondern um schwer wiegende Lücken, zu denen bereits eine große Menge Literatur verfügbar sei.