IE-Lücke war Microsoft wohl schon länger bekannt

Von der Sicherheitslücke in Microsofts Internet Explorer, die in der vergangenen Woche Schlagzeilen machte und die für die scheinbar schnelle Veröffentlichung eines Updates durch den Software-Konzern sorgte, hatte man in Redmond offenbar schon länger Kenntnis.

Als Microsoft am vergangenen Freitag außerhalb der Reihe schnell eine Aktualisierung zur Entfernung des Fehlers im Internet Explorer veröffentlichte, wurde das Unternehmen noch für seine schnelle Reaktion gelobt. Inzwischen stellt sich die Angelegenheit allerdings etwas anders dar. Denn der Konzern soll nicht von Eric Romang, der am 15. September Informationen zu dem Bug veröffentlichte, erstmals von dem Problem erfahren haben.

Microsoft würdigte im Rahmen des Updates einen nicht näher benannten Entwickler aus dem Umfeld der TippingPoint Zero Day Initiative (ZDI) und nicht Romang. Bei der ZDI handelt es sich um ein so genanntes Bug-Bounty-Programm, bei dem Informationen über Sicherheitslücken und Exploits aufgekauft werden, um diese nicht dem Schwarzmarkt und damit den Internet-Kriminellen zu überlassen. Finanziert wird die ZDI von Hewlett-Packard.


Entsprechend lohnte es sich in den Aufzeichnungen der ZDI nach dem aktuellen Bug zu forschen. Und siehe da: Die von einem anonymen Sicherheitsforscher aufgekauften Informationen über die Sicherheitslücke wurden bereits am 24. Juli an Microsoft weitergegeben. Damit hätte man in Redmond also zwei Monate Zeit gehabt, um an einem Patch zu arbeiten.

Romang war nicht bekannt, dass bereits vor ihm jemand auf den Fehler gestoßen war. Er zeigte sich nach seiner Veröffentlichung überrascht, dass nicht er, sondern jemand von der ZDI gewürdigt wurde. Zumindest wäre es des damit des Lobes an Microsoft zu viel, denn die Reaktion wäre in einem erwartbaren Zeitraum erfolgt.

Allerdings wies Romang auch darauf hin, dass ZDI zu einem Bereich gehört, in dem Sicherheitslücken und Exploits - aus welchem Interesse auch immer - gegen Geld gehandelt werden. Diese Praxis ist letztlich nicht ganz unumstritten, sondern seitens der beteiligten Unternehmen im besten Fall pragmatisch.
Mehr zum Thema: Internet Explorer
Diese Nachricht empfehlen
Videos zum Thema
 
Oh Microsoft ist schludrig was Sicherheitslücken angeht und nicht gerade die schnellsten, voll die Neuigkeit :D
 
Ich finde das wird alles ganz schön hoch gespielt. Es gibt immer irgendwo Sicherheitslücken in jeder Software. So einen Wind darum zu machen find ich unnötig.
 
@philip992: Das war aber eine KRITISCHE Sicherheitslücke im Browser. Also dem Teil, mit dem man ins Internet geht, Online-Banking betreibt oder teure Sachen einkeuft !!
 
solange es nur MS bekannt war, worin lag das problem? was glaubt ihr wie löchrig macos ist, nur posaunts keiner von den zuständigen heraus
 
@freakedenough: Unglaublich welchen Bullshit man liest wenn es um MS geht.


Alle Kommentare zu dieser News anzeigen

Schreiben Sie uns Ihre Meinung, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!

Melden Sie sich jetzt kostenlos an
oder verwenden Sie Ihren bestehenden Zugang.

Wöchentlicher Newsletter

Interessante Links & Themenseiten

Bücher auf Amazon

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles