IE-Lücke war Microsoft wohl schon länger bekannt

Von der Sicherheitslücke in Microsofts Internet Explorer, die in der vergangenen Woche Schlagzeilen machte und die für die scheinbar schnelle Veröffentlichung eines Updates durch den Software-Konzern sorgte, hatte man in Redmond offenbar schon länger Kenntnis.
Als Microsoft am vergangenen Freitag außerhalb der Reihe schnell eine Aktualisierung zur Entfernung des Fehlers im Internet Explorer veröffentlichte, wurde das Unternehmen noch für seine schnelle Reaktion gelobt. Inzwischen stellt sich die Angelegenheit allerdings etwas anders dar. Denn der Konzern soll nicht von Eric Romang, der am 15. September Informationen zu dem Bug veröffentlichte, erstmals von dem Problem erfahren haben.

Microsoft würdigte im Rahmen des Updates einen nicht näher benannten Entwickler aus dem Umfeld der TippingPoint Zero Day Initiative (ZDI) und nicht Romang. Bei der ZDI handelt es sich um ein so genanntes Bug-Bounty-Programm, bei dem Informationen über Sicherheitslücken und Exploits aufgekauft werden, um diese nicht dem Schwarzmarkt und damit den Internet-Kriminellen zu überlassen. Finanziert wird die ZDI von Hewlett-Packard.

Entsprechend lohnte es sich in den Aufzeichnungen der ZDI nach dem aktuellen Bug zu forschen. Und siehe da: Die von einem anonymen Sicherheitsforscher aufgekauften Informationen über die Sicherheitslücke wurden bereits am 24. Juli an Microsoft weitergegeben. Damit hätte man in Redmond also zwei Monate Zeit gehabt, um an einem Patch zu arbeiten.

Romang war nicht bekannt, dass bereits vor ihm jemand auf den Fehler gestoßen war. Er zeigte sich nach seiner Veröffentlichung überrascht, dass nicht er, sondern jemand von der ZDI gewürdigt wurde. Zumindest wäre es des damit des Lobes an Microsoft zu viel, denn die Reaktion wäre in einem erwartbaren Zeitraum erfolgt.

Allerdings wies Romang auch darauf hin, dass ZDI zu einem Bereich gehört, in dem Sicherheitslücken und Exploits - aus welchem Interesse auch immer - gegen Geld gehandelt werden. Diese Praxis ist letztlich nicht ganz unumstritten, sondern seitens der beteiligten Unternehmen im besten Fall pragmatisch.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 06:00 Uhr neon schildneon schild
Original Amazon-Preis
32,99
Im Preisvergleich ab
32,99
Blitzangebot-Preis
22,43
Ersparnis zu Amazon 32% oder 10,56
Im WinFuture Preisvergleich
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!