Sicherheitslücke war Microsoft monatelang bekannt

23. Jänner 2010, 14:28
145 Postings

Sicherheitsexperte meldete IE-Leck, das später zum Google-Hack führte, im September

Dank einer Sicherheitslücke im Webbrowser Internet Explorer war es chinesischen Hackern Anfang Jänner gelungen, in die Systeme von mehreren großen US-Konzernen wie Google und Adobe einzudringen. Wie nun Wired berichtet, soll Microsoft sich bereits seit September 2009 über die folgenschwere Schwachstelle in seiner Software im Klaren gewesen sein. Ein Sicherheitsspezialist der israelischen Firma BugSec soll dem US-Konzern schon damals den Fehler gemeldet haben. Mittlerweile hat Microsoft dies bestätigt, die Lücke wurde allerdings erst vergangenen Donnerstag, dem 21. Jänner 2010, gestopft.

Schwachstelle

Laut Microsoft konnte ein Angreifer sich über das Sicherheitsleck, das vor allem den Internet Explorer 6 betraf, die selben Nutzerrechte beschaffen, wie ein eingeloggter User. Hatte der User Administratorrechte, konnte der Angreifer mit einem erfolgreich gehackten System praktisch machen, was er wollte. So gelang es auch den "Google-Hackern" Schadprogramme auf Rechner des Unternehmens zu laden und geistiges Eigentum zu stehlen. Auch riefen sie Informationen zu Nutzern des Email-Programmes Gmail ab.

Warum so spät

Obwohl Microsoft von dem schweren Fehler wusste, hielt man den entsprechenden Patch nach der Fertigstellung im Dezember zurück. Der Konzern begründet, man habe auf das monatliche kumulative Update für den Internet Explorer im Jänner warten wollen.

Neben Google bestätigte auch Adobe Angriffe auf Computersysteme. Laut iDefense sollen mindestens 34 weitere Unternehmen betroffen sein. Nicht geklärt ist bislang, welchen Schaden die Hacker bei den 32 anderen Finanz- und Hi-Tech-Firmen angerichtet haben. Die meisten Unternehmen versuchen geglückte Angriffe geheim zu halten und einen möglichen Schaden öffentlich nicht zu deklarieren.

(zw)

  • Bild nicht mehr verfügbar

    Ungepatchte Sicherheitslücke im Internet Explorer führte zu schweren Angriffen auf US-Unternehmen.

Share if you care.