Chief Security Advisor Blog - Deutschland - Michael Kranawetter

Deutschsprachiger Blog für die Sicherheits-Gemeinschaft.Diskutiert werden alle Informations-Sicherheits relevanten Themen.

Stellungnahme zu möglicher neuer Sicherheitslücke im Internet Explorer

Stellungnahme zu möglicher neuer Sicherheitslücke im Internet Explorer

  • Comments 2
  • Likes

Vor kurzem veröffentlichte der zu Googles Sicherheitsteam gehörende Michal Zalewski die Vermutung, dass Personen in China Informationen über eine bislang unbekannte Lücke im Internet Explorer verfügen. Zalewskis Blog-Eintrag wurde bereits von internationalen Fachmedien aufgegriffen und erläutert, hierzulande beispielsweise von heise security.

Der Sicherheitsexperte erklärt, dass er seine Entdeckungen über mögliche Schwachstellen im Internet Explorer verantwortungsbewusst an Microsoft weitergegeben hat. Anhand von per Google gesuchten – und auf Zalewksis Server gefundenen – Begriffen mutmaßt der Forscher, dass andere Experten unabhängig von ihm und seinem Fuzzing Tool auf die gleiche Schwachstelle gestoßen sind.

 

Microsoft möchte zur Diskussion um die eventuell verbreiteten Schwachstelleninformationen folgendes beitragen: Wichtig zu wissen ist, dass Tools wie das von Michal Zalewski mögliche Schwierigkeiten in Software aufdecken. Viele der gefundenen Probleme führen aber nicht zu nennenswerten Sicherheitslücken.

 

Uns ist bislang kein erfolgreicher Versuch bekannt, auf Basis der Ergebnisse von Zalewskis Programm Proof-of-Concept-Programmcode zu schreiben oder eine funktionierende Attacke zu konzipieren. Sollte sich an dieser Tatsache etwas ändern, wird Microsoft die notwendigen Schritte unternehmen, um seine Kunden zu schützen.

 

Microsoft wird weiterhin alles daran setzen, seine Kunden vor existierenden Bedrohungen zu schützen. So belegt beispielsweise eine kürzlich von den Sicherheitsforschern der NSS Labs veröffentlichte Studie, dass der Internet Explorer dank seines SmartScreen-Filters über 90 Prozent – im Falle der Beta-Version des Internet Explorer 9 sogar 99 Prozent – aller per Social Engineering verbreiteten Malware entweder blockiert, oder vor einem Angriff warnt. Details zur Studie und zum SmartScreen-Filter des Internet Explorer im deutschsprachigen Blog des Kollegen Daniel Melanchthon.

 

Sicherheit ist eine die ganze Industrie betreffende Herausforderung. Microsoft unterstützt die Zusammenarbeit mit Forschern und/oder deren Arbeitgebern, wenn diese mögliche Schwachstellen entdecken. Der aktuelle Fall ist hierbei keine Ausnahme. Arbeiten die Forscher mit Softwareherstellern zusammen, damit diese die Schwächen in ihren Produkten beheben können, bevor die Details öffentlich werden, reduziert das Risiko für Kunden. Microsoft will das Risiko seiner Kunden reduzieren, nicht verstärken.

 

Wir werden das Problem weiter untersuchen und die notwendigen Schritte unternehmen, um unsere Kunden bestmöglich zu schützen.

Comments
  • Ich denke eines der grundsätzlichen Probleme bei der Entdeckung von Sicherheitsproblemen ist der Faktor der "Belohnung". Wenn ich eine Sicherheitslücke entdecke und diese publiziere, bekomme ich Aufmerksamkeit und Publicity. Diese Reputation kann ich ggf. gewinnbringend umsetzen.

    Wenn ich es dem Produkthersteller erzähle, bekomme ich vermutlich weniger  Anerkennung?

    Was vermutlich fehlt und die Zusammenarbeit zwischen allen Produktherstellern und Fehlersuchern verbessern könnte -  ist ein faires Belohnungssystem, dass auch den alternativen Anreiz bietet, meine gefundene Sicherheitslücke an den Hersteller zu melden.

    Beste Grüße

  • Hallo Ralf,

    es gibt ein faires Belohnungssystem: Unternehmen wie iDefense oder die Zero Day Initiative zahlen Bugfindern ja Geld für ihre Entdeckungen. Gleichzeitig werden die Entdecker in den Credits der Microsoft-Bulletins genannt, wenn die gefundene Schwachstelle tatsächlich zu einem Update führt.

    Insofern bringt eine Zusammenarbeit mit den Bug-Händlern sogar mehr, als ein Full Disclosure beispielsweise auf Exploit-DB. Dort gibt es eventuell Anerkennung von anderen Hackern - aber eben kein Geld.

    Viele Grüße

    Michael Kranawetter

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment