Sicherheit
Unterschlägt Adobe Sicherheitslücken?
von
Thorsten
Eggeling - 18.08.2011
Ein führender Google-Mitarbeiter kritisiert, dass über 400 seiner Fehlermeldungen an Adobe nicht in der Mängelliste des Flash Players aufgetaucht sind. Nun hat Adobe Stellung zu den Vorwürfen genommen.
Tavis Ormandy ist ein angesehener Google-Sicherheitsexperte und Entdecker zahlreicher Sicherheitslücken beispielsweise in Microsoft-Produkten. Jetzt kritisiert er nach den jüngsten Updates des Flash Players Adobe.
Im offiziellen Fehlerbericht heißt es, Adobe habe 13 kritische Lücken geschlossen. Diese sind mit offiziellen CVE-Nummern (Common Vulnerability Enumeration) versehen und ermöglichen eine eindeutige Zuordnung. Nach Angaben des Google-Sicherheitsexperten Tavis Ormandy hat der Softwarekonzern damit aber mehrere hundert Bugs unterschlagen. In einem Beitrag auf Twitter teilt er mit, dass alleine er schon 400 Schwachstellen entdeckt und direkt an Adobe gemeldet hat. Der Vorwurf lautet nun, dass Adobe zwar die Lücken geschlossen, diese aber im Update-Bericht mit keinem Wort erwähnt habe.
Nun hat sich Adobes Sicherheitsbeauftragter Brad Arkin zu Wort gemeldet. Die Fehler wurden demnach deswegen nicht offiziell erwähnt, weil sie im Rahmen des Secure Product Lifecycle (SPLC) entdeckt wurden. Nach Maßgabe von Adobe ist es nicht üblich, intern entdeckten Fehlern CVE-Nummer zuzuordnen. Die CVE-Nummern sind nur für öffentlich entdeckte Lücken vorgesehen. Da es sich bei Google um Partner bei der Sicherheit des Flash Players mit Adobe handelt, gelten auch diese Informationen als intern. Weiter betont Arkin, dass sich Ormandys Sicherheitslücken im Wesentlichen auf 104 Fehler reduzieren lassen und es sich bei den anderen Fehlern um 400 Abstürze beim Fuzzing gehandelt habe. Nach Adobe sind offenbar CVE-Nummer und PoC-Exploits (Proof Of Concept exploits) nötig, wohingegen Ormandy wohl nur „unique bugs“ gemeldet hat, von denen die meisten durch eine automatisierte Suche nach Programmierfehlern ermittelt wurden.
Nun stellt sich die Frage, ob es sich dabei um eine bewusste Unterschlagung oder tatsächlich um Interna handelt. Letztlich muss geklärt werden, ab wann ein Fehler zur Sicherheits-Lücke wird. Immerhin hatte Google im Zuge des kürzlich präsentierten Chrome Updates Tavis Ormandy und dem Google Security Team besonderes Lob ausgesprochen und für ihre „großartige Arbeit bei der Verbesserung des Flash-Player-Updates“ gedankt. Das hielt Ormandy jedoch nicht von seiner Kritik ab.
Inzwischen hat Adobe wohl auch ein Einsehen gehabt. Der Bericht wurde aktualisiert. Nun steht Ormandy explizit an erster Stelle mit der CVE-Nummer CVE-2011-2424. Diese Nummer beinhaltet die gesamte Fehlerauflistung von Ormandy.
