Stellungnahme zu möglicher neuer Sicherheitslücke im Internet Explorer

Vor kurzem veröffentlichte der zu Googles Sicherheitsteam
gehörende Michal Zalewski
die Vermutung, dass Personen in China Informationen über eine bislang
unbekannte Lücke im Internet Explorer verfügen. Zalewskis Blog-Eintrag wurde
bereits von internationalen Fachmedien aufgegriffen und erläutert, hierzulande
beispielsweise von heise security.

Der Sicherheitsexperte erklärt, dass er seine Entdeckungen
über mögliche Schwachstellen im Internet Explorer verantwortungsbewusst an
Microsoft weitergegeben hat. Anhand von per Google gesuchten – und auf
Zalewksis Server gefundenen – Begriffen mutmaßt der Forscher, dass andere
Experten unabhängig von ihm und seinem Fuzzing Tool auf die gleiche
Schwachstelle gestoßen sind.

 

Microsoft möchte zur Diskussion um die eventuell
verbreiteten Schwachstelleninformationen folgendes beitragen: Wichtig zu wissen
ist, dass Tools wie das von Michal Zalewski mögliche Schwierigkeiten in
Software aufdecken. Viele der gefundenen Probleme führen aber nicht zu
nennenswerten Sicherheitslücken.

 

Uns ist bislang kein erfolgreicher Versuch bekannt, auf
Basis der Ergebnisse von Zalewskis Programm Proof-of-Concept-Programmcode zu
schreiben oder eine funktionierende Attacke zu konzipieren. Sollte sich an
dieser Tatsache etwas ändern, wird Microsoft die notwendigen Schritte
unternehmen, um seine Kunden zu schützen.

 

Microsoft wird weiterhin alles daran setzen, seine Kunden
vor existierenden Bedrohungen zu schützen. So belegt beispielsweise eine
kürzlich von den Sicherheitsforschern der NSS Labs veröffentlichte Studie, dass
der Internet Explorer dank seines SmartScreen-Filters über 90 Prozent – im
Falle der Beta-Version des Internet Explorer 9 sogar 99 Prozent – aller per
Social Engineering verbreiteten Malware entweder blockiert, oder vor einem
Angriff warnt. Details zur Studie und zum SmartScreen-Filter des Internet Explorer
im deutschsprachigen Blog des Kollegen Daniel Melanchthon.

 

Sicherheit ist
eine die ganze Industrie betreffende Herausforderung. Microsoft unterstützt die
Zusammenarbeit mit Forschern und/oder deren Arbeitgebern, wenn diese mögliche
Schwachstellen entdecken. Der aktuelle Fall ist hierbei keine Ausnahme.
Arbeiten die Forscher mit Softwareherstellern zusammen, damit diese die
Schwächen in ihren Produkten beheben können, bevor die Details öffentlich
werden, reduziert das Risiko für Kunden. Microsoft will das Risiko seiner
Kunden reduzieren, nicht verstärken.

 

Wir werden das
Problem weiter untersuchen und die notwendigen Schritte unternehmen, um unsere
Kunden bestmöglich zu schützen.