Cursor-Lücke war Microsoft über 100 Tage bekannt

Microsoft musste vorgestern einen außerplanmäßigen Patch veröffentlichen, mit der man eine schwerwiegende Sicherheitslücke in allen aktuell unterstützten Windows-Betriebssysteme schließen will. Der Umgang mit dem Problem lässt Microsofts Patch-Politik jedoch erneut in keinem guten Licht erscheinen. So wussten die Redmonder bereits im Dezember 2006 von den Fehlern bei der Verarbeitung von Dateien für animierte Maus-Cursor. Es vergingen also mehr als 100 Tage, bis nun vorgestern endlich aufgrund der zunehmenden Ausnutzung der Schwachstelle durch Internet-Kriminelle ein entsprechendes Update zum Download bereit gestellt wurde.

Die Mitarbeiter des Microsoft Security Response Centers (MSRC), das für die Beseitigung und Überwachung von neuentdeckten Sicherheitslücken zuständig ist, verteidigten jetzt die Entscheidung, mit der Bereitstellung des Updates so lange zu warten. Die Entwicklung eines Patches sei ein langwieriger und komplexer Prozess, hieß es vom Chef des MSRC Mark Miller.

Seinen Angaben zufolge war die Entwicklung des Patches bereits Mitte März abgeschlossen, doch man musste zunächst noch ausführliche Tests durchführen. Die Veröffentlichung war angeblich ohnehin für den bevorstehenden April-Patch-Day vorgesehen, sagte er weiter. Der Sicherheitsdienstleister Determina hatte Microsoft schon am 20. Dezember 2006 auf die neue Sicherheitslücke aufmerksam gemacht.

Miller wies Beschuldigungen von sich, wonach Microsoft erst auf die Bedrohung reagiert habe, als immer mehr Internet-Seiten auftauchten, mit denen die Schwachstelle ausgenutzt werden soll. Man habe bereits vorher an einer Lösung des Problems gearbeitet. Als die Mitteilung, dass nun Exploits für die Lücke die Runde machen, eintrudelte, habe man lediglich die Überwachungsmaßnahmen verschärft.

Millers Argumente scheinen das eigentliche Problem nur noch zu unterstreichen. So gab es bereits Anfang 2005 eine Schwachstelle in der Verarbeitung von Dateien für animierte Maus-Cursor, die mit einem entsprechenden Update beseitigt wurde. Die neu entdeckte Lücke entspricht dem alten Problem und existiert lediglich in einem anderen Bereich des Windows-Codes.

Warum die neue Schwachstelle also nicht schon im Rahmen des Updates von 2005 aus der Welt geschafft wurde, ist auch bei Microsoft nicht ganz klar. Miller kündigte deshalb eine interne Untersuchung an, bei der man feststellen will, warum man das Problem damals nicht entdeckt und bereinigt hat.

Microsofts Umgang mit neuentdeckten Sicherheitslücken wird seit Jahren als zu träge kritisiert.