Flicken mit Verzögerung
Lücke seit Mitte Februar bekannt
Wie mittlerweile üblich hat Microsoft sein Patchprogramm für den April-Patchtag schon vorab veröffentlicht. Fünf Sicherheitsupdates – vier für Windows und eines für MS-Office - stehen diesmal auf dem Plan, darunter auch endlich jener Flicken, mit dem die Redmonder (Un-)Sicherheitsspezialisten die gefährliche „createTextRange“-Lücke schließen möchten. Öffentlich bekannt wurde diese Lücke Mitte März dieses Jahres. Berichten der US-Sicherheitsfirma Secunia zufolge, soll Microsoft von der Lücke allerdings bereits seit Mitte Februar Kenntnis gehabt haben. Dass diese Lücke, die längst zur Verbreitung von Schadprogrammen genutzt wurde, erst jetzt, also rund zwei Monate später, geschlossen werden soll, bleibt erklärungsbedürftig. Eine offizielle Stellungnahme aus Redmond gibt es dazu bisher nicht.
Probleme bei der Flickschusterei
Warum lässt sich die Redmonder Sicherheitsabteilung nicht selten viel zu lange Zeit, bis Sicherheitslücken wie die gefährliche „createTextRange“-Lücke endlich geschlossen werden? Tomas Kristensen von der US-Sicherheitsfirma Secunia glaubt, darauf eine Antwort zu haben. Die Schwierigkeit beim Internet Explorer liege ihm zufolge darin, dass er fest in die Windows-Betriebssysteme und in eine Reihe anderer Windows-Applikationen integriert sei. Änderungen im Internet Explorer haben deshalb immer auch Auswirkungen auf das Betriebssystem sowie die anderen Anwendungen, die auf den Internet Explorer aufbauen. Wird ein Sicherheits-Update erstellt, muss genau geprüft werden, welche Auswirkungen dieses Update hat.
Updates müssen genauestens getestet werden
Fehlerkorrekturen im Redmonder Hausbrowser müssen immer vor dem Hintergrund der Einbindung des Internet Explorers in das Betriebssystem und andere relevante Applikationen durchgeführt werden. Bevor ein Update veröffentlicht wird, muss es auf Bits und Bytes geprüft werden – auch im Hinblick auf sein Zusammenspiel mit dem Betriebssystem und anderen Anwendungen. Gleichzeitig müssen bei der Prüfung, ob das fragliche Update wirklich fehlerfrei arbeitet und nicht mehr Lücken aufreißt, als es zu schließen vorgibt, die unterschiedlichsten Hardware- und Softwarekonfigurationen berücksichtigt werden. Eine solche umfassende Fehlerprüfung kostet Zeit und Geld. „Noch vor drei, vier Jahren hat Microsoft eine Reihe von fehlerhaften Updates geliefert, die ganze Systeme in Gefahr gebracht oder funktionsuntüchtig gemacht haben“, erklärt Tomas Kristensen von Secunia. „Die damals erhaltene Schelte wollen sie sich offenbar nicht mehr einhandeln“, begründet der Sicherheitsexperte die lange Reaktionszeit im Hause Microsoft – und macht dabei einen entscheidenden Fehler.
Nur Sonntagsreden?
Die geschilderten Probleme und zeitraubenden Schwierigkeiten bei der Erstellung eines neuen Sicherheits-Updates sind den Verantwortlichen im Hause Microsoft sehr wohl bekannt. Keiner weiß besser als sie, wie aufwändig Flickschusterei sein kann. Stünde bei Microsoft wirklich das Kundeninteresse an sicheren Betriebssystemen und Anwendungen im Vordergrund der organisatorischen und finanziellen Unternehmensplanung, dann müsste der Konzern erheblich mehr finanzielle und personelle Mittel bereitstellen, um seine Sicherheitsabteilung so schlagkräftig und effektiv wie möglich zu gestalten und dadurch die Reaktionszeit zwischen Feststellen eines Sicherheitslecks und Bereitstellen eines Updates so kurz wie nur irgend möglich zu halten. So lange dies nicht geschieht, muss sich der Weltkonzern weiterhin vorhalten lassen, mit dem Sicherheitsbedürfnis seiner Kunden zu spielen. Kundenorientierung darf sich nicht in unverbindlichen Sonntagsreden vom so genannten „Trusted Computing“ erschöpfen.
Windows-Update-Funktion in der Kritik
Erhebliche Probleme wirft auch die Ankündigung auf, den immer noch schwelenden Eolas-Patentkonflikt per automatischer Windows-Update-Funktion beizulegen. Microsoft hatte angekündigt, zum April-Patchday auch einen so genannten Eolas-Patch anzubieten, der dafür sorgen soll, dass das Eolas-Patent durch den Internet Explorer künftig nicht mehr verletzt wird. Die automatische Update-Funktion wird von einer erheblichen Anzahl von Windows-Nutzern noch immer lediglich halbherzig akzeptiert. Viele Nutzer befürchten, dass beim Update mehr Informationen nach Redmond fließen, als dem einzelnen Kunden lieb sein kann. Die Akzeptanz der automatischen Update-Funktion scheint zwar in den letzten Monaten insgesamt zugenommen zu haben. Sollte Microsoft diese Funktion jedoch nicht mehr nur für Sicherheits-Updates, sondern ganz allgemein für Programmänderungen wie den jetzt geplanten Eolas-Patch benutzen, könnte das mühsam entwickelte Vertrauen arg beschädigt werden. In der Konsequenz könnten sich wieder mehr Windows-Nutzer dazu entschließen, die Update-Funktion wieder abzuschalten. Eine allgemeine Verschlechterung der Sicherheitslage wäre dann die zwangsläufige Folge.
Zurück zur News-Übersicht
