07.05.2010
Sicherheit
Kritik an heimlichem Microsoft-Update
Autor: Dorothee Chlumsky
Microsoft hat mit einem Update im April zwei kritische Sicherheitslücken geschlossen, ohne Informationen über die Schwachstellen zu veröffentlichen. Sicherheitsexperten kritisieren, dass Microsoft die Kunden so unnötig Gefahren aussetzt. Administratoren hätten durch die fehlende Veröffentlichung nicht die Möglichkeit, das Sicherheitsrisiko adäquat einzuschätzen.
Experten der Sicherheitsfirma Core Security üben scharfe Kritik an der Update-Praxis von Microsoft. Das Unternehmen habe mit den im April ausgespielten Aktualisierungen des Updates MS10-24 zwei kritische Sicherheitslücken geschlossen, ohne sie korrekt zu veröffentlichen. Standardgemäß werden Sicherheitslücken im Rahmen der "Common Vulnerabilities and Exposures" (CVE) bekannt gemacht, eine Datenbank, die die Sicherheitslücken auflistet und beschreibt. So werden Informationen zu den Schwachstellen gesammelt und verfügbar gemacht. Eine Sicherheitslücke erhält damit eine eindeutige CVE-Kennung und lässt sich so identifizieren. Wie The Register berichtet, wirft Nicolás Economou von Core Security Microsoft vor, eine Sicherheitslücke nur am Rande, eine weitere gar nicht erwähnt zu haben - obwohl sie die Kunden einem hohen Sicherheitsrisiko aussetzen. Economou zufolge können Angreifer auf Basis der Lücken E-Mails abfangen, die Nutzer per Exchange oder Windows-SMTP-Service schicken. Das Microsoft-Security-Bulletin zum Patchday sprach dagegen lediglich von einem Denial-of-Service-Fehler, den Microsoft nur als "wichtig" oder "moderat" einstufte. Core Security kritisiert, dass Administratoren auf Basis des unvollständigen Bulletins möglicherweise falsche Entscheidungen treffen, weil sie eine aktuelle Bedrohung nicht erkennen.
Microsoft hat in einem Statement auf die Vorwürfe reagiert und rechtfertigt sich damit, dass man vorhandene Schwachstellen im Security Bulletin nicht in allen Details darlege. Keine der Varianten der beschriebenen Bedrohungen sei kritischer einzustufen als im Bulletin dargelegt. Core Security zufolge handelt es sich jedoch bei den Lücken nicht um Details, sondern um schwer wiegende Lücken, zu denen bereits eine große Menge Literatur verfügbar sei.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>