Patch-Day bei Microsoft

Gestern war wieder einmal der monatliche Patch-Day bei Microsoft. Der Software-Hersteller stellte Bugfixes für über 20 Windows-Sicherheitslücken zur Verfügung.

Mindestens sechs dieser Löcher machen einen Windows-PC für Würmer nach dem Bauplan von MS Blaster angreifbar. Neben Windows 2000 und XP sind auch der Windows Server 2003 und das in die Jahre gekommene Windows NT von den Problemen betroffen. Auch eine Komponente von Outlook Express wird als unsicher eingestuft.

„Mit einer Firewall haben sie von den meisten Lücken auch im ungepatchten Zustand nichts zu befürchten“, so Stephen Toulouse vom Microsoft Security Response Center. „Wir nehmen die Sache allerdings sehr ernst.“

Microsoft wollte nach eigenen Angaben mit den jetzt veröffentlichten Updates ein umfangreiches Paket ausliefern, um die Lücken in einem Durchgang zu beseitigen. „Wir wollten das nicht Stück für Stück machen“, so Toulouse.

Genau diese Strategie stößt bei Experten allerdings auf harsche Kritik. „Dieses Release zeigt, wie Microsoft mit dem Thema Sicherheit umgeht. Sie lassen bekannte Löcher eine Zeit lang ungepatcht, um ihre Patches dann einmal im Monat zusammenfassen zu können. Dies erweckt den Eindruck, als seien in Windows gar nicht so viele Lücken“, so Marc Maiffret, „Chief Hacking Officer“ beim IT-Sicherheitsunternehmen Eeye. „Dies ist so nicht hinnehmbar.“

Die neuen Patches MS01-011 bis 014 sind entwerder als „kritisch“ oder „hoch“ eingestuft und können auf der Microsoft Website oder über das in Windows integrierte Windows Update heruntergeladen werden.