Anhand dieser Kriterien entscheidet Microsoft, welche Sicherheitslücken ein Update bekommen

Keine Kommentare
 

Microsoft hat erstmals die Kriterien veröffentlicht, anhand derer der Schweregrad einer Sicherheitslücke festgelegt wird. Anlass dazu war häufig geäußerte Kritik von Sicherheitsexperten, dass Microsoft oft auf bekannt gewordene Sicherheitslücken nicht zeitnah reagiert.


Gebäude mit Microsoft Logo

Microsoft veröffentlichte eine Liste mit Kriterien, wann Sicherheitslücken ein Update bekommen. (efes / pixabay.com)

Nun hat der Konzern die Liste der Kriterien ins Netz gestellt, anhand derer die Wichtigkeit einer Sicherheitslücke bewertet wird. Adressaten dieser Veröffentlichen sind allerdings die Sicherheitsexperten, nicht die normalen Windows Nutzer. Wer trotzdem einen Blick riskieren möchte: bitte sehr!

Jede bekannte Sicherheitslücke wird geschlossen – irgendwann!

Um Missverständnisse zu vermeiden: Es geht nicht darum, dass Microsoft irgendwelche bekannten Sicherheitslücken vollständig ignoriert. Spätestens mit dem nächsten großen Update des Betriebssystems werden idealerweise alle Lücken des vorherigen Release geschlossen. Dafür ist bei Microsoft das Entwicklerteam zuständig, das Windows und die verschiedenen Server-Produkte entwickelt. Daneben arbeitet bei Microsoft ein zweites Entwicklerteam, das man vielleicht als „Betriebssystem-Feuerwehr“ bezeichnen kann. Dieses Team ist für Notfallreparaturen zuständig. Diese werden zwischen den Updates des Betriebssystem als Patches umgehend über den Update-Service installiert.

Höchste Priorität: Sicherheitsgrenzen

Die Basis des gesamten Sicherheitskonzepts moderner Betriebssysteme sind die so genannten Sicherheitsgrenzen. Das bedeutet, dass der Arbeitsspeicher logisch in Teilbereiche unterteilt wird, die streng voneinander getrennt sind. Die bekannteste Sicherheitsgrenze, die schon in den ersten Versionen der Betriebssysteme eingezogen wurde, ist die zwischen dem User-Mode und dem Kernel-Mode. Direkte Zugriffe von Anwendungen auf den Kernel des Betriebssystems sind nicht zulässig. Werden Sicherheitsgrenzen überschritten, handelt es sich stets um eine kritische Sicherheitslücke, die sofort geschlossen werden muss.

Weitere Sicherheitsgrenzen

Heute weist Windows weit mehr als nur diese eine Sicherheitsgrenze auf. Beispielsweise werden in Rechenzentren zahlreiche virtuelle Server für verschiedene Kunden auf einem Rechner betrieben. Diese müssen strikt getrennt bleiben und es versteht sich von selbst, dass eine Lücke in dieser Sicherheitsgrenze extrem kritisch wäre. Auf Ihrem PC ist beispielsweise der Webbrowser durch eine eigene Sicherheitsgrenze isoliert.

Eine abstrakte Sicht

Der Webbrowser ist ein gutes Beispiel dafür, dass Microsoft eine recht abstrakte Perspektive einnimmt. Die Einordnung von Sicherheitslücken entspricht nicht immer der Schwere des Schadens, der dadurch entstehen kann. Beim Webbrowser gelten Sicherheitslücken dann als schwerwiegend, wenn ein Angreifer ohne Zutun des Users die Sicherheitsgrenze überwinden kann und beispielsweise geschützte Daten aus anderen Speicherbereichen auslesen kann. Die Priorität einer Lücke wird aber als niedrig eingestuft, wenn der Angriff nur dann funktioniert, falls der User sich zu irgendwelchen Aktionen überreden lässt.

Die Hierarchie von Sicherheitslücken bei Microsoft

Für die für den normalen User besonders wichtigen Sicherheitslücken in Anwendungen sieht die grobe Hierarchie der Sicherheitsprobleme aus der Sicht von Microsoft in etwa so aus: Ganz oben stehen die kritischen Lücken, die es erlauben, unbefugt Programme auf anderen (virtuellen) Rechnern auszuführen. In der zweiten Kategorie der wichtigen Lücken findet sich alles, was Zugriff auf Daten ohne entsprechende Zugriffsrechte erlaubt. In der Kategorie „mittel“ sind rein destruktive Angriffe eingeordnet, die zum Beispiel Prozesse oder auch den ganzen Rechner abstürzen lassen. (Auch dies ist ein Beispiel für die abstrakte Sicht auf die Sicherheitsarchitektur. Sicher ist ein Auto, das gar nicht fährt, weniger kritisch als eines mit kaputten Bremsen. Aber ob der Besitzer ein nicht fahrendes Auto als „mittelschweren Fehler” ansieht, dessen Behebung nicht so eilig ist, mag man bezweifeln.) Als „niedrig“ wird die Bedeutung einer Lücke eingestuft, wenn nur die betroffene Anwendung selbst abstürzt.

Es gibt immer wieder Ärger

Sicherheitslücken werden in der Regel von Profis entdeckt, der mit Kaugummi und Chipstüte im Keller vor sich hin programmierende jugendliche Hacker ist eher in Hollywood zu finden. An vielen Unis wird nach Sicherheitslücken geforscht, auch Google hat ein eigenes Team, das sich nur darum kümmert. Es wurden Absprachen getroffen, dass die Hersteller zuerst informiert werden und dann mindestens 90 Tage Zeit zum Schließen der Lücke bekommen. Erst dann sollen die Lücken veröffentlicht werden. Manchmal halten sich die Entdecker der Lücken nicht daran, manchmal verschlafen Hersteller wie Microsoft auch die 90-Tage-Frist.

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen