Microsoft und die Sicherheit - eine endlose Geschichte

Microsoft schaffte es in den letzten Jahren immer wieder, durch unangenehme Sicherheitslücken aufzufallen. Das größte Problem bei den Sicherheitslücken in Microsoftprodukten ist jedoch, dass diese Lücken oft erst nach Tagen, mitunter auch erst anch mehreren Wochen geschlossen werden. Es fehlt schlichtweg die Flexibilität und Geschwindigkeit, wie sie die OpenSource-Gemeinde mit einem vielfachen von freiwilligen Entwicklern für ihre Produkte bieten kann. In der Vergangenheit versuchte Microsoft seinerseits diesem Problem in der Art zu begegnen, dass man sich nach außen hin nicht allzu präzise über die Probleme aussprach - zumindest nicht, solange der Bug nicht behoben war.

Bei dem aktuellen Sicherheitsproblem des IIS 5.0 (ein Webserver von MS) ging man jedoch zru Überraschung auch vieler Sicherheitsexperten etwas anders vor. Microsoft veröffentlichte in der Knowledge-Base einen Artikel mit einer Anleitung, mit deren Hilfe der Fehler genau nachvollzogen werden kann. Dummer Weise gibt es dafür jedoch noch keinen Patch und auch kein Workaround und auch die nachträgliche Entfernung der schrittweisen Anleitung aus dem Artikel dürfte wohl zu spät gewesen sein - mit Sicherheit hatten bereits reichlich Leute diese sichern können. Die Empfehlung Microsofts zur Lösung des Problems mutet aberwitzig an: es wird dazu geraten, auf den IIS 6.0 umzusteigen. Dieser jedoch setzt den Windows Server 2003 vorraus. Mit anderen Worten: Du willst die Sicherheitslücke in dem teuer gekauften, aber leider veralteten, Produkt nicht? Dann kauf etwas neueres, ebenfalls teures von uns! - Das ist einfach unglaublich …

Bei der Sicherheitslücke handelt es sich um ein Problem mit dem “Hit-highlighting”-Feature. Somit kann man bestimmte Zugriffsbeschränkungen umgehen und so an geschützte Informationen gelangen und auch Dateien herunterladen. Ein Ausweg zur Vermeidung des Mißbrauchs der ungepatchten Lücke ist das Löschen von Verknüpfungen mit .htw-Dateien bzw. die Verwendung des Filters URLScan, welcher den Zugriff auf .htw-Dateien steuern kann.

Einen Kommentar schreiben