Microsofts Sicherheitschef gönnt sich eine Auszeit

EnterpriseProjekteSicherheitSoftware-Hersteller

Müde, Ausgebrannt? So mag sich vielleicht Mike Nash gefühlt haben, als er sein Sabbatical bei Microsoft beantragt hat. Kein Wunder, denn Nash ist der oberste Sicherheitsstratege in Redmond.

Sei vier Jahren kämpft Nash gegen die verbreitete Wahrnehmung, dass Microsoft-Produkte nicht wirklich sicher seien, an. Obwohl sich in seiner Amtszeit in Sachen Sicherheit vieles bei Microsoft zum Besseren gewendet hat, machen weltweite Wurmattacken und immer neue Exploits, zum Beispiel für den Interner Explorer, Nashs Aufgabe nicht gerade einfacher.

Ab Sommer wird daher Ben Fathi, bislang in der Speicherabteilung für Microsoft tätig, die Sicherheitsstrategie des Unternehmens lenken. Irgendwann im Verlauf des Jahres werde Nash auf eine neuen Position bei Microsoft zurückkehren, erklärte ein Unternehmenssprecher.

Ob das jüngste Leck in Microsofts Internet Explorer mit ausschlaggebend für den Urlaub Nashs war, kommentierte das Unternehmen nicht. Jedoch muss der Hersteller sich jetzt beeilen, da Hacker dazu übergegangen sind, über eine Schwachstelle verwundbare Microsoft-Systeme zu kapern.

In den Tagen zuvor wurde ein so genanntes Proof of Concept veröffentlicht. Das ist ein Stück Code, das beweisen soll, dass eine Schwachstelle existiert. Der veröffentlichte Code startete zwar nur den Rechner in Windows, doch wie Sicherheitsexperten erklärten, sei es ausgesprochen einfach, diesen Befehl gegen jeden beliebigen auszutauschen.

Der Fehler liegt in der Verarbeitung des Internet Explorers des ‘CreateTextRange’ in Webseiten. Gelangt ein Nutzer auf eine bösartige Web-Seite, kann der Angreifer die Kontrolle über das System übernehmen. Nun warnt McAfee bereits vor Seiten, die über diesen Fehler ein Spionage-Programm auf Rechner laden. Microsoft hat zunächst in einem Advisory vor der Gefahr gewarnt und erklärt, dass die Nutzer der Versionen des Internet Explorers 5 und 6 ActiveScript deaktivieren sollten. Das Unternehmen hatte zudem einen Patch ohne Datum angekündigt. Nun ergänzte der Hersteller, dass es auch außerhalb des monatlichen Patch-Zyklus eine Aktualisierung geben könnte. Der nächste Termin für den Patch-Day ist Dienstag, der 11. April.