Wie Microsoft Bug-Reports ordnet und Verteilung von Patches plant

Microsoft hat jetzt erstmals transparent gemacht, wie man intern Sicherheitslücken einordnet. Das hat letztlich einen entscheidenden Einfluss darauf, wie schnell und in welcher Form Patches bereitgestellt werden. Die entsprechenden Dokumente sollen aber nicht nur der Information, sondern auch als Diskussionsgrundlage dienen.
Patch-Day, Windows Logo, Microsoft Patch Day, Pflaster
PC Games
Im Kern wird jeder Bug-Report, der bei den Entwicklern in Redmond eingeht, anhand zweier Modelle klassifiziert. Das bekanntere Modell dürfte dabei die Einstufung in Risiko-Klassen sein. Ob eine Sicherheitslücke nun etwa als kritisch oder eher mittelmäßig angesehen wird, hängt dabei nicht unbedingt davon ab, wie schlimm der anzurichtende Schaden sein könnte - das ist immerhin eine sehr subjektive Sache. Vielmehr spielen hier technische Fragen die entscheidende Rolle. Bei Client-Anwendungen stellt sich das beispielsweise folgendermaßen dar:

  • Kritisch: Bei nicht-autorisiertem Zugang zum Dateisystem, der Ausführbarkeit fremder Codes ohne größere Interaktion mit dem Nutzer oder auch die bei der Möglichkeit, Code aus einer Virtuellen Maschine auf das Host-System durchzuschleusen.
  • Wichtig: Bei einer Ausführbarkeit von Code über die Interaktion mit dem Nutzer, bei der Erlangung von Schreibrechten über Buffer Overflows oder dem Lesen von Daten ohne vorliegende Zugriffsrechte.
  • Mittel: Wenn Attacken vor allem destruktiver Natur sind, also beispielsweise Abstürze des kompletten Systems verursachen. Aber auch Fälle, bei denen Angreifer Informationen auslesen können, die an festgeschriebenen Stellen zu finden sind.
  • Niedrig: Wenn lediglich die attackierte Anwendung zum Absturz gebracht werden kann. Oder auch Fälle, bei denen weitergehende Angriffe eingeleitet werden können, die aber nur funktionieren, indem der Anwender zu komplexeren Interaktionen verleitet wird.

Die hier genannten Beispiele stellen natürlich nur einen Teil der gesamten Klassifikationen dar. Im Security-Bereich gibt es immerhin unzählige Varianten, wie die Sicherheit eines Systems beeinträchtigt werden kann und auch wenn Microsoft bereits viele davon zusammengetragen hat, dürfte es in der Praxis immer wieder auch Fälle geben, in denen man nicht sofort zu einem eindeutigen Ergebnis kommt.


Patch-Day oder lange Bank?

Hinzu kommt, dass allein die beschriebene Einstufung noch nichts darüber sagt, in welcher Form Patches an Nutzer verteilt werden. Hier gibt es dann eine zweite Stufe der Einordnung, bei der es darum geht, welche Bestandteile einer Windows-Installation betroffen sind. Wenn beispielsweise Sicherheits-Grenzen zwischen Komponenten verschiedener Grade an Vertrauenswürdigkeit überschritten werden, ist schnelles Handeln erforderlich. Das betrifft beispielsweise Fälle, in denen normale Nutzer Zugriff auf Kernel-Prozesse bekommen. Oder auch solche, bei denen die Trennungen zwischen Nutzer-Accounts überwunden werden können.

Ist dies der Fall, wird der Patch auf jeden Fall im Rahmen des regelmäßigen Patch-Days verteilt. Gleiches gilt für Fälle, in denen die Bugs direkte Attacken auf die Security-Features des Systems ermöglichen. Also etwa, wenn eine Daten-Verschlüsselung durch BitLocker umgangen werden kann oder sich die biometrischen Verfahren von Windows Hello hinters Licht führen lassen.

Anders geht Microsoft hingegen vor, wenn tieferliegende Security-Schichten betroffen sind. Hier werden die Bug-Reports dann in der Regel nicht von der schnellen Eingreiftruppe in Redmond bearbeitet, sondern an die regulären Entwickler übergegeben. Je nach Schwere des Problems kann es dann vorkommen, dass ein Fehler auch erst beim nächsten großen Halbjahres-Update angegangen wird.

Siehe auch: Einfalls-Tor Treiber - Microsoft will häufigen Angriffspunkt sichern
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!