THEMEN

Microsoft ignoriert gravierende Sicherheitsluecke zwei Jahre
Veröffentlicht am Freitag, 14.August 2009 von Redaktion


Wie nun bekannt wurde ist Microsoft über eine der am vergangenen allmonatlichen Patchdays geschlossenen Sicherheitslücken bereits vor über zwei Jahren informiert worden. Nun werden sich vermutlich viele Microsoft-Kunden besorgt fragen, warum das Unternehmen mit einem Patch solange gewartet hat, bis die kritische 0-Day-Lücke aktiv ausgenutzt wurde.



Die nun geschlossene kritische Sicherheitslücke in der Office-Webkomponente (OWC) wird vermutlich für einige Diskussionen sorgen. Es ist schwer zu verstehen warum die mit dem Security Bulletin MS09-043 geschlossene Lücke solange von Microsoft unbeachtet blieb, bzw nicht geschlossen wurde. Das unverständlich ist, dass das Unternehmen bereits Anfang 2007 von der Zero Day Initiative (kurz: ZDI) über die kritische Lücke informiert wurde.

Bei der nun geschlossenen und sogar als kritisch eingestuften Lücke handelt es sich um einen Fehler in Microsofts Web-Komponenten. Potentielle Angreifer konnten durch die Schwachstelle Code in fremde Systeme einschleusen und auch ausführen. Um an ihr Ziel zu gelangen brauchten sie sich lediglich den Umstand zu Nutze machen, dass speziell präparierte Parameter beim Aufruf msDataSourceObject () Fehlern in der Speicherverwaltung verursachen konnten.

Bereits im März 2007 hatte die Zero Day Initiative den Software-Riesen auf die Schwachstelle hingewiesen. Da die Lücke derartig lange nicht geschlossen wurde, kann man den Eindruck gewinnen, dass Microsoft das Problem nicht besonders ernst nahm oder nicht erkannte. Nachdem nun im vergangenen Monat Berichte laut wurden, dass die Lücke im Web aktiv ausgenutzt werde, wurde der Software-Riesen aktiv.

Nach bekannt werden der ersten Berichte dauerte es einen Monat und Microsoft stellte seinen Kunden ein Patch zum schließen der Sicherheitslücke bereit.






letzten News

  DSGVO Besonnenheit statt Panik
 
  Schaedlinge im Netz So wird trotzdem sicher gesurft
  Gefahren aus dem Internet erkennen und vorbeugen
  Navigationsgeraete werden zunehmend von Smartphone und Tablet PC abgeloest

Kommentar:
Kommentare werden erst geprüft und dann freigeschaltet.

erlaubter HTML Code:
<b> <i> <em> <br> <strong> <blockquote> <tt> <li> <ol> <ul>
Security Code Security Code
  VIREN TICKER
weitere Informationen:
Symantec Anti Virus Corporate Edition
Linux Anti Virus