Dipl.-Inform. Carsten Eilers

Ormandy hat Microsoft am 5. Juni über die Schwachstelle informiert und sie am 10. Juni veröffentlicht. Die Hintergründe, die zur Veröffentlichung der Schwachstelle als "0-Day" führten, waren anfangs unklar und führten zusammen mit der Tatsache, dass Ormandy für Google arbeitet und Google für "Responsible Disclosure" eintritt, zu wilden Vermutungen und Beschuldigungen. Etwas später hat Ormandy auf Twitter klar gestellt, warum er die Schwachstelle veröffentlicht hat:

"I'm getting pretty tired of all the "5 days" hate mail. Those five days were spent trying to negotiate a fix within 60 days."

Mal eine kurze Überschlagsrechnung: Ormandy hat Microsoft am 5. Juni über die Schwachstelle informiert und erwartete eine Zusage, sie innerhalb von 60 Tagen zu beheben. 60 Tage nach dem 5. Juni ist der 4. August. Zugegebenermaßen ein für Microsoft etwas ungünstiger Termin, da der reguläre August-Patchday der 10. August ist. Ob Microsoft sich generell nicht in der Lage sah, einen Patch-Zeitraum zu nennen oder ob es am Termin gescheitert ist, wurde nicht veröffentlicht, und eigentlich ist es auch egal, da die Schwachstelle nun schon nach "nur" 38 Tagen behoben wird.

Microsoft!

Ich gebe zu, dass Microsoft am 5. Juni nicht wissen konnte, ob die Entwicklung des Patches sowie die notwendigen Tests in 60 Tagen zu schaffen sind oder nicht, geschweige denn, dass nun sogar weniger als 38 Tage benötigt wurden. Aber warum hat man nicht einfach den 60 Tagen von Tavis Ormandy zugestimmt? Hätte die Zeit nicht gereicht, hätte man ja um eine Verlängerung bitten können, aber selbst wenn die nicht gewährt worden und die Schwachstelle dann veröffentlicht worden wäre, wäre sie 55 Tage länger unveröffentlicht geblieben als es jetzt der Fall war. Klarer Fall: Microsoft hats verbockt.

Wahrscheinlich haben die Verantwortlichen nicht damit gerechnet, dass Ormandy die Schwachstelle wirklich veröffentlichen würde, oder zumindest nicht so schnell. Dabei war es nicht das erste Mal, dass er so vorgehen musste. Im Januar veröffentlichte er eine Privilegieneskalations-Schwachstelle in der Virtual DOS Machine (VDM), die er Microsoft bereits am 12. Juni 2009 gemeldet hatte. Behoben wurde sie dann am Februar-Patchday. Angesichts der Tatsache, dass er damit rechnete, dass die aktuelle Schwachstelle jederzeit auch von Cyberkriminellen gefunden und ausgenutzt werden könnte, ist es wohl verständlich, das er diesmal auf eine zügigere Behebung Wert legte. Was ja auch geklappt hat - allerdings erst, nachdem Microsoft durch die Veröffentlichung der Schwachstelle unter Druck gesetzt wurde.

Das sprichwörtliche "Tüpfelchen auf dem i" wäre es jetzt ja, wenn am Patchday raus käme, dass Microsoft die Schwachstelle schon länger bekannt ist, so wie es z.B. im Fall der im Rahmen der gezielten Angriffe auf Google und andere Unternehmen ausgenutzten Schwachstelle der Fall war.

Was ist los mit Microsoft?

Eigentlich hatte sich Microsoft doch zu einem Sicherheits-Musterknaben entwickelt. Was ist da los, dass sie jetzt wieder so nachlassen? Schwachstellen sollen komplett unter den Tisch gekehrt werden, eine Schwachstelle im Microsoft HTML Viewer, die sich ausnutzen lässt, um die Address Space Layout Randomization (ASLR) zu umgehen, wird als "technique for bypassing ASLR" und nicht als ausnutzbare Schwachstelle eingestuft, andere Schwachstellen werden erst behoben, wenn sie als 0-Day veröffentlicht oder sogar schon ausgenutzt wurden... also entweder muss Bill Gates da mal wieder auf den Tisch hauen oder Steve Ballmer sich mal wieder zum Affen machen, sonst fällt der Laden wieder in den alten Trott.

Full Responsible No Disclosure

Generell muss Microsoft seinen Umgang mit externen Schwachstellen-Entdeckern überdenken. Die bisherige Lösung, die Entdecker vertraulich gemeldeter Schwachstellen quasi im Kleingedruckten der Security Bulletins zu erwähnen, ist vielen nämlich nicht mehr Belohnung genug. Pwn2Own-Dauergewinner Charlie Miller, Alex Sotirov und Dino Dai Zovi haben schon im April 2009 die Kampagne 'No More Free Bugs' in Leben gerufen, und jetzt hat das französische Sicherheitsunternehmen VUPEN zwei kritische Schwachstellen in Excel und Word in Microsoft Office 2010 gemeldet, ohne Microsoft technische Details zu nennen. Die erhalten nur die Mitglieder des 'VUPEN Threat Protection Program'.

VUPEN-CEO Chaouki Bekrar wird mit der Aussage

"Why should security services providers give away for free information aimed at making paid-for software more secure?"

zitiert, die Michal Zalewski mit

"Here’s the thing: security researchers don’t have to give any information away for free; but if you need to resort to arm-twisting tactics to sell a service, you have some serious soul searching to do."

kommentiert.

Die Lösung des Problems ist eigentlich ganz einfach, aber leider hat sie eine extrem unerfreuliche Nebenwirkung: Niemand zwingt unabhängige Forscher dazu, nach Schwachstellen in irgend welchen Programmen zu suchen, sie können es also ganz einfach sein lassen. Leider hätte das zur Folge, dass die Programme unsicherer werden, da dann nur noch die Cyberkriminellen nach Schwachstellen suchen. Die Hersteller sollten also über jede von Dritten gefundene und veröffentlichte Schwachstelle dankbar sein und sie auch geeignet honorieren, denn sonst erfahren sie davon in den meisten Fällen erst, wenn die Antiviren-Hersteller über die ersten Angriffe darüber berichten. Und mal als kleiner Tipp: Wenn die Honorierung stimmt, werden die Schwachstellen-Entdecker auch eher motiviert sein, nach den Regeln der Hersteller zu spielen.

Carsten Eilers