Lange an einer Schwachstelle rumdoktern, und wenn dann was passiert, hat man hat es nicht gerade eilig, das bekannt zu geben - das klingt nach Vattenfall? Stimmt. In diesem Standpunkt Sicherheit geht es aber um Microsoft.

Es gibt eine neue 0-Day-Schwachstelle in Windows. Wirklich? Dazu erst mal ein Zitat aus meinem Artikel über die Schwachstelle vom 7. Juli:

Alte Schwachstelle?
Microsoft hat im Security Advisory für die Schwachstelle die CVE-ID CVE-2008-0015 angegeben. Die wurde bereits am 13. Dezember 2007 zugewiesen. Sollte diese Schwachstelle wirklich schon so lange bei Microsoft bekannt sein? Da stellt sich doch die Frage, wieso sie noch nicht behoben wurde oder warum nicht wenigstens mit einem der vielen seither erschienen Security-Bulletins das Kill-Bit für das betroffene ActiveX-Control gesetzt wurde. Immerhin wird das ja wohl nicht benötigt, wie Microsoft im Security Advisory selbst schreibt: "Our investigation has shown that there are no by-design uses for this ActiveX Control in Internet Explorer..."

Das es etwas merkwürdig ist, wenn eine brandneue Schwachstelle eine doch schon gut abgehangene ID bekommt, ist inzwischen sogar Microsoft aufgefallen. Mike Reavey hat im Blog des Microsoft Security Response Center (MSRC) erklärt, warum die aktuelle Schwachstelle eine etwas ältere CVE-ID hat: Die Schwachstelle wurde im frühen Frühjahr 2008 entdeckt und hat die ältere ID bekommen, weil die IDs in größeren Blöcken zugeteilt und dann nach und nach aufgebraucht werden. Na, das macht ja einen Riesenunterschied, ob die nun wie das Zuteilungsdatum der ID vermuten ließ, "schon" Mitte Dezember 2007 oder "erst" im frühen Frühjahr 2008 entdeckt wurde. Aber lassen wir Mike Reavey zu Wort kommen:

Before I go into the details, the key thing I want customers to understand is that this is an issue that was responsibly reported to us and we have been driving in our standard process towards a security update. While in the middle of that process, attackers found this same vulnerability and began attacks against it. We were far enough in the process that we could provide information that customers can use to protect themselves in the interim while we complete that investigation and deliver a security update that you can deploy broadly with confidence.

Also: Irgendwann im frühen Frühjahr 2008 wird die Schwachstelle gemeldet. Und als sie im "frühen Sommer" 2009 ausgenutzt wird, ist man gerade in der Mitte des Prozesses - kann aber schon gut eine Woche später sehr wahrscheinlich einen Patch veröffentlichen. Klingt irgendwie komisch, oder? Und was den "frühen Sommer" betrifft - die Ausnutzung der Schwachstelle begann deutlich früher, als allgemein angenommen wurde: Laut IBMs X-Force wurde der Exploit bereits am 11. Juni beobachtet, während er von Internet Strom Center am 6. Juli gemeldet wurde, an dem auch Microsofts Advisory erschien. Man kann wohl davon ausgehen, dass Microsoft von X-Force bereits am 11. Juni informiert wurde.

Aber noch einmal zu Mike Reavey:

Another thing our investigation showed is that there was no known use for these interfaces in Internet Explorer. In fact, as part of our security work on Vista, these interfaces had been disabled in Internet Explorer.

Die Interfaces werden nicht benutzt, in Vista sind sie nicht mehr vorhanden - also: Weg damit, und das schnellstens.

However, disabling or removing functionality is a more radical step than updating code to address an unchecked buffer, for example. When we disable or remove functionality, we have to engage in even more research and testing than usual, to ensure that we can take this step and not cause more harm than good by inadvertently “breaking” applications. For something like this, we have to ensure not only our applications but also major third-party applications are not hurt by this. Otherwise, if our update “breaks” a major application, customers won’t deploy the update but the bad guys will have information about the vulnerability that they can use to attack it.

Das ginge doch wohl deutlich schneller. Eine Mail an alle potentiell betroffenen Hersteller, dass man aus Sicherheitsgründen diese und jene Interfaces deaktivieren muss, die ja in Vista auch deaktiviert sind, sollte reichen, um über mögliche Probleme informiert zu werden. Sollte man nicht annehmen, dass alle Hersteller ihre Programme inzwischen an Vista und damit die nicht vorhandenen Interfaces angepasst haben? Nur zur Erinnerung: Der Nachfolger von Vista steht vor der Tür (dabei steht da bei vielen noch Vista rum und wird nicht reingelassen), und man nimmt Rücksicht auf Anwendungen, die nur unter dem Vorgängersystem laufen können. Alle Anwender, die so ein angenommenes Programm unter Windows XP nutzen, sollten doch problemlos einen Patch vom Hersteller bekommen können, oder? Vor allem, weil jetzt ja genau das gemacht wurde, was man nicht machen wollte: Durch das Setzen des Kill-Bits als Workaround fliegt das betroffene ActiveX-Control raus - und keinen scheint es zu stören. Dazu nochmals Mike Reavey:

Customers who have already implemented the killbits manually or through the FixIt workaround won’t need to implement next week’s security update, [...].

Das hätte man auch schneller machen können.

Carsten Eilers