{"id":1299,"date":"2010-06-14T17:21:56","date_gmt":"2010-06-14T16:21:56","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/1299-windows-help-center-vulnerability-disclosure-verargert-microsoft"},"modified":"2018-05-22T18:27:24","modified_gmt":"2018-05-22T17:27:24","slug":"windows-help-center-vulnerability-disclosure-verargert-microsoft","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/1299-windows-help-center-vulnerability-disclosure-verargert-microsoft","title":{"rendered":"Windows Help Center Vulnerability Disclosure ver\u00e4rgert Microsoft"},"content":{"rendered":"

Ich hatte erst vor ein paar Tagen hier einen Beitrag zu Vulnerability Disclosure<\/a> ver\u00f6ffentlicht. Die g\u00e4ngige Diskussion ist dabei vor allem, was ist ein „Responsible“ Disclosure also eine verantwortunsbewu\u00dfte Ver\u00f6ffentlichung von Sicherheitsl\u00fccken. Hier wird in der IT-Security Branche bekanntlich heftig gestritten. Die eine Front verlangt ausreichend (notfalls beliebig) Zeit f\u00fcr die Hersteller um Sicherheitsl\u00fccken zu beheben, die andere Front will L\u00fccken so schnell wie m\u00f6glich ver\u00f6ffentlichen um Hersteller zu zwingen, auf bekannte L\u00fccken auch tats\u00e4chlich z\u00fcgig mit einem Patch zu reagieren. In der Praxis lassen viele Leute dem Hersteller zwischen 30 und 90 Tagen Zeit um einen Patch zu entwickeln und ver\u00f6ffentlichen dann Details zu einer L\u00fccke, auch wenn der Hersteller nach dieser Zeit noch keinen Patch ver\u00f6ffentlicht hat. Das ist ein relativ guter Kompromiss zwischen beiden Lagern.<\/p>\n

Aktuell gibt es jetzt<\/a> einen Fall<\/a> in dem der Entdecker einer L\u00fccke dem Hersteller nur wenige Tage gelassen hat und schon sind wieder alle am Streiten.<\/p>\n

Tavis Ormandy, ein Entwickler bei Google hat eine technisch interessante (weil recht komplexe) Sicherheitsl\u00fccke im Hilfe- und Support-Center von Microsoft Windows entdeckt. Details zur L\u00fccke und einen Demo-Exploit hat Tavis am 10.06. auf der Full-Disclosure Mailingliste ver\u00f6ffentlicht<\/a>. Die Mailingliste kann jeder abonnieren und bekommt automatisch alles zugeschickt was dorthin geschickt wird. Leider ist auch viel Schrott auf der Liste, weil sie kaum moderiert wird. Microsoft wurde am 05.06. von Tavis \u00fcber diese L\u00fccke informiert und hat den Eingang am gleichen Tag best\u00e4tigt.<\/p>\n

Tavis wirft Microsoft jetzt vor, seit 05.06. nichts mehr geh\u00f6rt zu haben, nimmt deshalb an, es k\u00fcmmert sich keiner um die L\u00fccke und ver\u00f6ffentlicht 5 Tage sp\u00e4ter den Exploit mit dem dezenten Hinweis:<\/p>\n