Es gehörte bislang nicht zu den Gewohnheiten der Mitarbeiter der HP Zero Day Initiative, Sicherheitslücken öffentlich zu machen. Üblicherweise werden die betroffenen Unternehmen angeschrieben und auf die Lücken hingewiesen. In vielen Fällen werden die gefundenen Sicherheitslücken dann auch in mehr oder weniger kurzer Zeit geschlossen.
Als die HP-Mitarbeiter allerdings Microsoft wegen einer bereits 2014 entdeckten Sicherheitslücke im Internet Explorer ansprachen, schaltete der Betriebssystemgigant auf stur. Als die Lücke nach der üblichen Frist von 120 Tagen immer noch nicht geschlossen wurde, gaben die Sicherheitsexperten die Lücke bekannt, nannten aber keine weiteren Details dazu.
Daraufhin teilte Microsoft den HP-Mitarbeitern mit, die gefundenen Lücken nicht schließen zu wollen. Die Begründung: 64-Bit-Installationen des Internet Explorer wären bereits ausreichend gegen einen Missbrauch der Lücke gesichert, zudem habe die Mitte 2014 eingeführte MemoryProtection zu einer spürbar niedrigeren Missbrauchsrate beim Internet Explorer geführt.
Problematisch für die Mitarbeiter der Zero Day Initiative: Betroffen ist weiterhin die 32-Bit-Version des Internet Explorers, die auf vielen Rechnern aktiv genutzt wird und dank Microsoft angreifbar bleibt. Auch wenn Microsoft die Probleme, die mit einem Fehler in der Address Space Layout Randomization (ASLR) zu tun haben, nicht sonderlich ernst zu nehmen scheint würden wir von der Nutzung des Internet Explorers in der 32-Bit-Version generell abraten. Eine genauere Beschreibung des Bugs liefert die ZDI in einem Whitepaper.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.