Kritik: Kritische Lücke war bereits 2 Jahre bekannt

13. August 2009, 13:10
7 Postings

Microsoft erfuhr bereits im März 2007 von Lücke in der Office-Webkomponente (OWC) - Patch erst nach

Heftige Kritik muss der Softwarekonzern Microsoft von Seiten internationaler Sicherheits-ExpertInnen einstecken. Der Grund dafür, eine nun geschlossene Sicherheitslücke war dem Konzern bereits vor mehr als zwei Jahren gemeldet worden, doch reagiert wurde erst als die Lücke aktiv ausgenutzt wurde.

OWC

Die im vorigen Patchday geschlossene, kritische Sicherheitslücke in der Office-Webkomponente (OWC) war Microsoft bereits seit über zwei Jahren bekannt. Bereits im März 2007 wurde das von Peter Vreugdenhil entdeckte Sicherheitsproblem von der Zero Day Initiative (ZDI) bei Microsoft gemeldet. Damals erklärte die ZDI, dass speziell präparierte Parameter beim Aufruf msDataSourceObject() zu Fehlern in der Speicherverwaltung führen würden, die AngreiferInnen für ihre Zwecke ausnutzen könnten.

Zwei Jahre und kein Patch

Trotz der Meldung dürfte der Softwarekonzern nicht aktiv geworden sein, zumindest nicht so, dass die AnwenderInnen vor Angriffen über diese Lücke geschützt gewesen wären. Erst als die Lücke vor kurzem aktiv ausgenutzt wurde, reagierte Microsoft und brachte innerhalb eines Monats einen Patch heraus. Warum es so lange dauerte, wollte Microsoft nicht verraten.(red)

  • Bild nicht mehr verfügbar

    Auch das größte Problem, ist erst dann ein Problem wenn es auch jemandem auffällt. Zwei Jahre lang ignorierte Microsoft eine Lücke, erst nach ersten Meldungen über aktives Ausnutzen schloss der US-Konzern die Lücke.

Share if you care.