Die Ankündigung, dass Microsoft die WMF-Lücke (Windows Meta File) erst am 10. Januar als Teil des monatlichen Security Bulletins schließen will, ist auf harsche Kritik gestoßen. Bis dahin überlasse man die Anwender ungnädig ihrem Schicksal, werfen Sicherheitsexperten dem Unternehmen vor.
Das Internet Storm Center (ISC) schreibt auf der Kommentarseite Handlers’s Diary, die IT-Leiter müssten sich nun fragen, ob sie das riskante Spiel spielen und auf den Patch warten wollten. Sie müssten sich überlegen, ob sie es sich leisten können, noch eine weitere Woche mit einer Lücke zu leben und es darauf ankommen lassen, dass kein Hacker ihr Netz angreift.
Damit muss allerdings gerechnet werden. Eine Vielzahl von Systemen sind derzeit löcherig und deshalb leichte Angriffsziele für Eindringlinge. Und: die Hacker haben die Zeit auf ihrer Seite. Je länger die Schwachstelle besteht, desto mehr erfahren sie über die Lücke und desto ausgebuffter ist dann der Exploit. Es handele sich wohl nur noch um Tage bis es einen Wurm gebe, der sich selbst weiter verbreite und noch mehr Systeme infiziere, sagen Experten.
Mitarbeiter des ISC hatten am Dienstag einen inoffiziellen Patch von Ilfak Guilfanov verifiziert und zum Download auf dessen Webseite verwiesen. Die war zeitweise nicht erreichbar und beim ISC vermutete man, dass die Bandbreite wohl nicht ausreiche, dem Ansturm an Patch-willigen Anwendern Stand zu halten. Es könnte aber auch sein, dass sich Hacker daran schon zu schaffen gemacht haben. Bestätigt wurde diese Spekulation indes nicht.
Von Seiten Microsofts heißt es, man wolle keinen unfertigen Patch anbieten, sondern solange testen, bis er keine anderen Teile des Betriebssystems in Mitleidenschaft gezogen würden. Das kann nämlich passieren, so wie im November 2005 als Microsoft Updates in manchen Fällen die Funktionen von Websites beeinträchtigen und dann ganz normale Basisfunktionen nicht mehr ausgeführt werden konnten.
Die Kritik greift nicht die Existenz des monatlichen Patchdays an sich an, der seit 2003 in regelmäßigen Abständen Sicherheits-Updates liefert. In Ausnahmefällen muss aber die Möglichkeit eines Notfall-Patches bestehen. Dass Microsoft schneller reagieren kann, hat der Konzern Anfang Dezember bewiesen, als eine Lücke im Internet Explorer diesen Schritt erforderte. Bei der aktuellen Lücke hat der Softwareanbieter aber offenbar gepatzt statt gepatcht.
Data Awakening: Huawei präsentierte beim Innovative Data Infrastructure Forum 2024 in Berlin neue, auf KI…
Um ihre Verteidigung zu stärken, müssen Staaten und Unternehmen sicherstellen, dass KRITIS-Betreiber nicht nur die…
Reichen die Sicherheitsvorkehrungen der KRITIS-Betreiber bereits aus? Das BSI liefert dazu Kennzahlen auf einer neuen…
Laut Kaspersky ist Schadsoftware die zweithäufigste Bedrohung. Angriffe auf vernetzte Fahrzeuge folgen erst mit Abstand.
Der deutsche Chipproduzent beliefert Xiaomi mit Siliziumkarbid-Leistungsmodulen (SiC), Mikrocontrollern und Gate-Treibern.
Fraunhofer-Forschende arbeiten an einer Webplattform, die die Lebensqualität von Menschen mit Parkinson verbessern soll.