Word-Patch: Microsofts verwirrende Sicherheitsstrategie
In der Windows-Version von Word 2003 steckt ein Programmfehler, der die Applikation zum Absturz bringt, so dass diese nicht mehr reagiert. Dies kann auftreten, wenn eine Datei manuell oder automatisch gespeichert wird. Diesen lästigen Programmfehler soll nun ein Patch für Word 2003 beheben, den Microsoft unter anderem in deutscher Sprache zum Download(öffnet im neuen Fenster) anbietet.
Mit dem Erscheinen des Patches für Word 2003 bleibt die Update-Politik von Microsoft so undurchschaubar wie vor dem 9. Oktober 2003, als das Unternehmen eine neue Sicherheitsstrategie verkündet hatte, die eigentlich für mehr Klarheit sorgen sollte. Demzufolge waren Patches für Microsoft-Produkte nur noch an einem monatlichen "Patch-Day" geplant, während Patches zur Behebung von gefährlichen Sicherheitslecks unabhängig davon erscheinen sollten.
Alle bislang von Microsoft als gefährlich eingestuften Sicherheitslücken wurden jedoch immer nur an dem monatlichen "Patch-Day" bereinigt, wobei fünf neue Sicherheitslücken im Internet Explorer aus dem Jahre 2003 bis heute nicht gestopft wurden. Vier Sicherheitslücken im Internet Explorer vom November 2003 können über Webseiten die Sicherheitseinstellungen und das Zonenmodell des Browsers umgehen und so lokal auf den betreffenden PC zugreifen. Darüber lässt sich gefährlicher Programmcode einschleusen und auf dem betreffenden System ausführen. Für diese Sicherheitslecks ist bis heute kein Patch erschienen – stattdessen ließ Microsoft den erstmöglichen "Patch-Day" im Dezember 2003 zur Behebung des Problems ausfallen .
Eine weitere Mitte Dezember 2003 entdeckte Sicherheitslücke im Internet Explorer verschleiert die tatsächliche URL in der Adresszeile des Browsers, so dass der Nutzer meint, auf einer anderen Webseite zu sein. Das kann ein Angreifer dazu missbrauchen, sensitive Daten zu sammeln, da der Nutzer annimmt, Daten an vertrauenswürdige Webseiten zu übermitteln. Wie Microsoft bekannt gab, soll an dem kommenden "Patch-Day" Mitte Februar 2004 endlich ein Update zur Abhilfe erscheinen. Dazu deaktiviert Microsoft überraschenderweise gleich ganz das Einbinden von Nutzername und Kennwort in URLs. Andere Web-Browser binden Nutzername und Passwort in URLs ein, ohne von einem entsprechenden Sicherheitsleck betroffen zu sein.