Stellungnahme zu möglicher neuer Sicherheitslücke im Internet Explorer


Vor kurzem veröffentlichte der zu Googles Sicherheitsteam
gehörende Michal Zalewski
die Vermutung, dass Personen in China Informationen über eine bislang
unbekannte Lücke im Internet Explorer verfügen. Zalewskis Blog-Eintrag wurde
bereits von internationalen Fachmedien aufgegriffen und erläutert, hierzulande
beispielsweise von heise security.

Der Sicherheitsexperte erklärt, dass er seine Entdeckungen
über mögliche Schwachstellen im Internet Explorer verantwortungsbewusst an
Microsoft weitergegeben hat. Anhand von per Google gesuchten – und auf
Zalewksis Server gefundenen – Begriffen mutmaßt der Forscher, dass andere
Experten unabhängig von ihm und seinem Fuzzing Tool auf die gleiche
Schwachstelle gestoßen sind.

 

Microsoft möchte zur Diskussion um die eventuell
verbreiteten Schwachstelleninformationen folgendes beitragen: Wichtig zu wissen
ist, dass Tools wie das von Michal Zalewski mögliche Schwierigkeiten in
Software aufdecken. Viele der gefundenen Probleme führen aber nicht zu
nennenswerten Sicherheitslücken.

 

Uns ist bislang kein erfolgreicher Versuch bekannt, auf
Basis der Ergebnisse von Zalewskis Programm Proof-of-Concept-Programmcode zu
schreiben oder eine funktionierende Attacke zu konzipieren. Sollte sich an
dieser Tatsache etwas ändern, wird Microsoft die notwendigen Schritte
unternehmen, um seine Kunden zu schützen.

 

Microsoft wird weiterhin alles daran setzen, seine Kunden
vor existierenden Bedrohungen zu schützen. So belegt beispielsweise eine
kürzlich von den Sicherheitsforschern der NSS Labs veröffentlichte Studie, dass
der Internet Explorer dank seines SmartScreen-Filters über 90 Prozent – im
Falle der Beta-Version des Internet Explorer 9 sogar 99 Prozent – aller per
Social Engineering verbreiteten Malware entweder blockiert, oder vor einem
Angriff warnt. Details zur Studie und zum SmartScreen-Filter des Internet Explorer
im deutschsprachigen Blog des Kollegen Daniel Melanchthon.

 

Sicherheit ist
eine die ganze Industrie betreffende Herausforderung. Microsoft unterstützt die
Zusammenarbeit mit Forschern und/oder deren Arbeitgebern, wenn diese mögliche
Schwachstellen entdecken. Der aktuelle Fall ist hierbei keine Ausnahme.
Arbeiten die Forscher mit Softwareherstellern zusammen, damit diese die
Schwächen in ihren Produkten beheben können, bevor die Details öffentlich
werden, reduziert das Risiko für Kunden. Microsoft will das Risiko seiner
Kunden reduzieren, nicht verstärken.

 

Wir werden das
Problem weiter untersuchen und die notwendigen Schritte unternehmen, um unsere
Kunden bestmöglich zu schützen.

Comments (2)

  1. Hallo Ralf,

    es gibt ein faires Belohnungssystem: Unternehmen wie iDefense oder die Zero Day Initiative zahlen Bugfindern ja Geld für ihre Entdeckungen. Gleichzeitig werden die Entdecker in den Credits der Microsoft-Bulletins genannt, wenn die gefundene Schwachstelle tatsächlich zu einem Update führt.

    Insofern bringt eine Zusammenarbeit mit den Bug-Händlern sogar mehr, als ein Full Disclosure beispielsweise auf Exploit-DB. Dort gibt es eventuell Anerkennung von anderen Hackern – aber eben kein Geld.

    Viele Grüße

    Michael Kranawetter

  2. Ralph Dombach says:

    Ich denke eines der grundsätzlichen Probleme bei der Entdeckung von Sicherheitsproblemen ist der Faktor der "Belohnung". Wenn ich eine Sicherheitslücke entdecke und diese publiziere, bekomme ich Aufmerksamkeit und Publicity. Diese Reputation kann ich ggf. gewinnbringend umsetzen.

    Wenn ich es dem Produkthersteller erzähle, bekomme ich vermutlich weniger  Anerkennung?

    Was vermutlich fehlt und die Zusammenarbeit zwischen allen Produktherstellern und Fehlersuchern verbessern könnte –  ist ein faires Belohnungssystem, dass auch den alternativen Anreiz bietet, meine gefundene Sicherheitslücke an den Hersteller zu melden.

    Beste Grüße