Microsofts Sicherheitspolitik im Kreuzfeuer der Kritik

Nach dem Patch-Day in der vergangenen Woche ist Microsofts Sicherheitspolitik erneut ins Kreuzfeuer der Kritik geraten. Einige IT-Sicherheitsexperten sind der Meinung, dass der Software-Riese eines der am letzten Dienstag veröffentlichten Updates nicht ausreichend beschrieben hat. Seitens Microsoft hieß es am Wochenende, dass man der Meinung sei, dass weniger Informationen in bestimmten Fällen eine gesteigerte Sicherheits bedeuten können. Dies sei auch in diesem Fall so gewesen. Grund für die Kritik sind Angaben aus einer Sicherheitsmitteilung, die anlässlich der Bereitstellung des Patches veröffentlicht wurde.

Die Mitteilung besagt, dass die zu schliessende Sicherheitslücke gemeldet wurde, ohne die Öffentlichkeit zu informieren, eine "Variation" des Problems aber bereits seit Oktober 2004 öffentlich bekannt ist. Einige Experten sind der Auffassung, dass Microsoft sich in dem Advisory falsch ausdrückt.

Stattdessen fordert man nun, dass klargestellt werden müsse, dass die mehr als 700 Tage alte angebliche "Variation", behoben wurde und eine kürzlich nichtöffentlich gemeldete Lücke ebenfalls geschlossen werden konnte. Durch die verwirrende Ausdrucksweise gefährde Microsoft seine Kunden wissentlich, hieß es.

Microsoft gab über ein Weblog zu Protokoll, dass man ausreichend Informationen zur Verfügung stelle, damit Anwender die aus einer Lücke resultierende Gefahr für sich einschätzen können. Eine Veröffentlichung tiefgehenderer Informationen sei dagegen vor allem für Autoren von Schad-Software und ähnlichem hilfreich, weshalb man darauf verzichte.