Dass manche Unternehmen auf Sicherheitslücken bisweilen behäbig reagieren, ist Beobachtern der IT-Berichterstattung nicht neu. Doch zumindest werden aufgedeckte Schwächen immerhin mit Verspätung behoben.

Eher unkonventionell verhält es sich mit einer Schwachstelle im Internet Explorer, die schon vergangenes Jahr entdeckt worden war. Denn Microsoft weigert sich hier schlichtweg, den Fehler zu beheben, schreibt ZDNet.

Zeroday Initiative veröffentlicht Exploit

Betroffen ist die Speicherverwaltung des Browsers in seiner 32-Bit-Fassung. Auf einem Windows 7-System (x86) war es Forschern der HP Zeroday Initiative gelungen, die Schwachstelle auszunutzen, um letztlich auf dem Rechner Code auszuführen. Ende September hatte man es geschafft, auch noch andere Sicherheitsmechanismen auszuhebeln, im Oktober wurde das Problem schließlich an Microsoft gemeldet.

Der IT-Riese erkannte die Lücke auch an und zahlte entsprechenden Finderlohn aus, den HP an gemeinnützige Organisationen spendete. Allerdings: Behoben wurde das Problem nicht. Im April erklärte Microsoft gegenüber den Forschern, dass man auch nicht vorhabe, das Leck zu kitten. Weswegen die Zeroday Initiative sich entgegen ihrer normalen Vorgehensweise entschloss, den Fehler nebst Exploit-Code öffentlich zu machen, was nun vor wenigen Tagen geschehen ist.

Fehler laut Microsoft nicht gefährlich

Microsoft begründet damit, dass man mittlerweile einen Sicherheitsmechanismus namens "MemoryProtection" eingeführt habe, die den Missbrauch des Fehlers verringere. Doch auch diesen Schutz hatten die Sicherheitsexperten im September bereits geknackt, wenngleich er die Ausnutzung der Lücke erheblich erschwert.

Nach Ansicht von Microsoft ist das Leck ungefährlich, man könne aber ohnehin die 64-Bit-Ausgabe des Browsers verwenden. Bei HP betrachtet man die Lücke zwar ebenfalls nicht als hochkritisch, weist aber darauf hin, dass auch auf 64-Bit-Windows-Versionen die 32-Bit-Ausgabe des Internet Explorer als Standard eingestellt ist. (gpi, 23.06.2015)