Regelmäßig enthalten Microsofts Updates Fixes für Sicherheitslücken, die nicht in den Bulletins aufgeführt sind. Microsoft verteidigt diese "silent Updates", wie sie in der Security-Community schon seit Längerem genannt werden, in einem Blog-Beitrag des Teams für Security Research & Defense.

Das Security-Team untersucht nicht nur den benachbarten Code nach weiteren Lücken, wenn ein sicherheitsrelevanter Fehler behoben wird, sondern versucht auch, ähnliche Fehler an anderen Stellen aufzufinden. Dann wird dazu schon auch mal ein Fuzzer auf das fragliche Programm losgelassen. Diese Fundstellen werden dann von Microsoft als "Varianten" bezeichnet und viel Aufhebens entschärft.

Übrigens sind große Sammel-Updates, wie das bald anstehende Service Pack 1 für Windows 7, ein weiterer Zeitpunkt, zu dem Microsoft bekanntermaßen stillschweigend Sicherheitslücken schließt. Unter anderem werden die bereits ins Internet gesickerten RTM-Versionen auf diesen Aspekt hin bereits unter die Lupe genommen. Jedenfalls macht der Blog-Eintrag, unabhängig von der Bewertung von Microsofts Vorgehensweise, erneut klar, dass Studien, die CVE-Einträge (Common Vulnerabilities and Exposures) benutzen, nur sehr begrenzte Aussagen zur Sicherheit von Software erlauben.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE