Microsoft und Updates. Ein Trauerspiel

Von Mainboarder am 4.02.2015 veröffentlicht
Tags: , , ,

Mich beschleicht das Gefühl Microsoft hat einen Fehler bei der Umstrukturierung des Unternehmens gemacht. Kurz nachdem das Sicherheitsteam zerschlagen und in andere Abteilungen verteilt wurde, kommen viele Meldungen über Verfehlungen und Versäumnisse.

Schon kurz vor dem öffentlichen Bekanntwerden der Pläne Microsofts musste das Unternehmen vier Patches zurückziehen und vor dem Installieren warnen.

Nachdem die Kryptoinfrastruktur SChannel kaputt war, brauchte es drei Anläufe um sie wieder abzudichten. Gleichzeitig sieht es so aus, als würde kaum ein Monat vergehen, indem nicht mindestens ein Patch zurückgezogen werden muss.

In diesem Hin und Her gelang es ebenfalls nicht von Google gemeldete Lücken im Betriebssystem Windows in der gesetzten responsible disclosure Frist (verantwortungsvolle Veröffentlichung) von 90 Tagen zu beheben und zwar gleich drei mal[1], [2], [3]. Und die Entdeckung von Sicherheitslücken nimmt keinen Abbruch, wie kürzlich, als im Internet Explorer eine Universal Cross-Site-Scripting-Möglichkeit gefunden wurde. Hier war man jedoch bei der Veröffentlichung rabiater und brachte gleich die Lücke ohne Microsoft vorab zu informieren an die Öffentlichkeit.

Das Microsoft dann noch eine besser koordinierte Veröffentlichungsprozedur fordert, zeigt, dass man nicht das erforderliche Maß an Sensibilität für Sicherheitslücken hat. Im konkreten Fall wurde eine von Google entdeckte Lücke zwei Tage vor dem Patchrelease an einem Patchtag veröffentlicht. Microsoft bat Google die Veröffentlichung bis zur Veröffentlichung der Fehlerbehebung zu verschieben.

Das ist aber nicht der Sinn von responsible disclosure. 90 Tage sollten genug Zeit sein, von einem kommerziellen Unternehmen eine Fehlerbehebung zu entwickeln, zu testen, nachzubessern und zu veröffentlichen, außer es ist ein sehr tiefgreifender Fehler. Hier eine Kulanz von zwei Tagen zu wollen, weicht das Prinzip auf. Dann sind es irgendwann 10 Tage, dann 20 und bald geht alles nur noch über sofortige Veröffentlichung, die Anwender erst einmal am stärksten gefährdet.

In Verbindung mit Trusted Platform Modulen die von Windows genutzt werden, hat man nicht mal mehr eine einfache Lösung für die Sicherheit seines Systems zu sorgen.

Dazu gab es auf dem 31C3 auch einen sehr guten Vortrag von Rüdiger Weis.

Die besten Tweets im Januar

Von Mainboarder am 1.02.2015 veröffentlicht
Tags:

Blogpause

Von Mainboarder am 6.01.2015 veröffentlicht
Tags:

Die letzten Wochen ist hier wenig passiert. Das bleibt auch noch ein paar Wochen so.

Ich gönne mir eine Blogpause bis Anfang Februar.