Original-URL des Artikels: https://www.golem.de/0508/39950.html    Veröffentlicht: 19.08.2005 10:35    Kurz-URL: https://glm.io/39950

Microsoft beklagt Verhalten von Sicherheitsexperten

Aktuelle Sicherheitslücke im Internet Explorer wurde Microsoft nicht gemeldet

Mit einem neuen Sicherheitshinweis geht Microsoft auf die am gestrigen 18. August 2005 bekannt gemachte Sicherheitslücke im Internet Explorer ein. Bei dieser Gelegenheit beklagt der Softwaregigant, dass er nicht vorab über das Sicherheitsloch informiert wurde.

Im aktuellen Sicherheitshinweis zum kürzlich entdeckten Sicherheitsloch im Internet Explorer bestätigt Microsoft, dass es durch einen Fehler zu einem Absturz des Browsers kommen kann. Ob und unter welchen Bedingungen darüber auch Programmcode ausgeführt werden kann, konnte der Hersteller bislang nicht verifizieren. Die Untersuchungen daran laufen demnach noch.

In dem Sicherheitshinweis kritisiert der Hersteller, dass er nicht vorab über die Sicherheitslücke informiert wurde, sondern die betreffenden Angaben öffentlich zur Verfügung gestellt wurden. Dies habe die Gefährdung durch die Sicherheitslücke erhöht, was auch daran liegt, dass der Entdecker für den Beleg des Sicherheitslochs Beispiel-Code veröffentlicht hatte, so dass Angreifer diese Sicherheitslücke ohne großen Aufwand für ihre Zwecke missbrauchen könnten.

Microsoft weist zudem darauf hin, dass sich das Prozedere bewährt habe, den Hersteller zu informieren, wenn in einer seiner Applikationen eine Sicherheitslücke gefunden wurde. So habe der Hersteller die Möglichkeit, einen Patch anzubieten, bevor die betreffenden Informationen öffentlich bekannt werden. FrSIRT bestätigt als Entdecker der Sicherheitslücke die Microsoft-Angaben, denn es findet sich kein Hinweis dazu, dass Microsoft über die Schwachstelle informiert wurde.

Da die Untersuchungen von Microsoft noch nicht abgeschlossen sind, steht derzeit nicht fest, ob Microsoft für das Sicherheitsloch außerplanmäßig einen Sicherheits-Patch veröffentlicht oder diesen an einem kommenden Patch-Day zur Verfügung stellen wird, was dann frühestens im September 2005 wäre.

Microsofts Sicherheitshinweis beschreibt zudem Maßnahmen, wie das Sicherheitsloch umgangen werden kann. Allerdings sorgen diese Workarounds dafür, dass verschiedene Komponenten nicht mehr wunschgemäß arbeiten. Alternativ bleibt noch der Wechsel zu einem anderen Browser.  (ip)


Verwandte Artikel:
Gefährliches Sicherheitsleck im Internet Explorer (Update)   
(18.08.2005, https://glm.io/39928 )
Internet Explorer: Probleme mit Sicherheits-Patch behoben   
(11.08.2005, https://glm.io/39797 )
Sicherheitsupdate: Microsoft-Compiler baut Schutz gegen Spectre   
(18.01.2018, https://glm.io/132241 )
Microsoft ruft zur Aktualisierung von Windows auf   
(12.08.2005, https://glm.io/39829 )
Windows 10: Kritische Lücke in vorinstalliertem Passwortmanager   
(18.12.2017, https://glm.io/131725 )

Links zum Artikel:
Microsoft: http://www.microsoft.de
Microsoft (.com): http://www.microsoft.com

© 1997–2019 Golem.de, https://www.golem.de/