Microsoft: Warum wir dieses patchen und jenes nicht

Microsoft hat in einem Blogpost erstmals Informationen darüber veröffentlicht, warum der Softwareriese manche gefundenen Sicherheitslöcher oder Bugs in Windows schneller behebt als andere. Konkret geht es um die Frage, welche Schwachstellen Microsoft mit Patches behebt, welche als kontinuierlicher Service im Rahmen des monatlichen Patch Tuesday ausgeliefert werden, oder in besonders dringenden Fällen sogar als ausserordentliche Patches. Und welche anderen Schwachstellen oder Bugs erst in neuen Windows-Versionen oder sogar gar nie behoben werden.Grundsätzlich gebe es dazu zwei Kriterien, so Microsoft. Gepatcht wird im Prinzip, wenn es eine Schwachstelle möglich macht, eine von neun "Sicherheitsgrenzen" zu durchbrechen, die Microsoft in Windows definiert hat. Generell sollen diese Daten, Code und User voneinander abschotten. Dazu gehört zum Beispiel die "Netzwerk-Grenze", die esverunmöglichen soll, dass ein Netzwerkknoten auf Daten oder Code auf einem Endgerät zugreifen kann. Weitere Beispiele sind die Grenzen zwischen Prozessen oder virtuellen Maschinen.Ebenfalls gepatcht wird im Prinzip, wenn ein Problem in einem von neun primären Sicherheitsfeatures gefunden wird. Dazu gehören unter anderem BitLocker, Secure Boot die Ver­schlüsselungs­schnitt­stelle und Authentisierungs­protokolle.Die Einschränkung "im Prinzip" ist notwendig, weil es eben noch ein zweites Hauptkriterium gibt, nämlich als wie schwerwiegend Microsoft eine Schwachstelle einstuft. Beziehungsweise ob sie den "Schwellenwert" dafür, im Rahmen des kontinuierlichen Services behoben zu werden, erreicht. Im Rahmen des Blogposts hat Microsoft daher auch erstmals Informationen dazu veröffentlicht, nach welchen Kriterien man in Redmond Schwachstellen in die Risikostufen "kritisch", "wichtig", "moderat" und "tief" einteilt Grundsätzlich keine Service-Patches gibt es dagegen für Sicherheitsfeatures, die Microsoft als "Defense-in-depth security features" bezeichnet. Dazu gehören beispielsweise User Account Control (UAC) oder AppLocker und mehr als ein Dutzend weitere Features. Eine Schwachstelle in einem dieser Features, so begründet dies Microsoft, könne es einem Angreifer nicht ermöglichen, die Kontrolle über einen Computer zu übernehmen, falls er nicht gleichzeitig eine Schwachstelle in einer der oben erwähnten Grenzen oder primären Security-Features ausnützt.Übrigens gibt Microsoft im gleichen Blogpost auch bekannt, für welche Arten von Schwachstellen die Personen, die sie entdecken und melden, eine Belohnung erwarten können. Belohnungen gibt es für alle Schwachstellen in den Bereichen Boundaries und wichtigen Security Features, sowie einen Teil der "Defense-in-depth" Security Features. (hjm)