Microsoft: Warum wir dieses patchen und jenes nicht

17. September 2018, 13:19
  • security
  • microsoft
image

Microsoft hat in einem Blogpost erstmals Informationen darüber veröffentlicht, warum der Softwareriese manche gefundenen Sicherheitslöcher oder Bugs in Windows schneller behebt als andere.

Microsoft hat in einem Blogpost erstmals Informationen darüber veröffentlicht, warum der Softwareriese manche gefundenen Sicherheitslöcher oder Bugs in Windows schneller behebt als andere. Konkret geht es um die Frage, welche Schwachstellen Microsoft mit Patches behebt, welche als kontinuierlicher Service im Rahmen des monatlichen Patch Tuesday ausgeliefert werden, oder in besonders dringenden Fällen sogar als ausserordentliche Patches. Und welche anderen Schwachstellen oder Bugs erst in neuen Windows-Versionen oder sogar gar nie behoben werden.
Was gepatcht wird
Grundsätzlich gebe es dazu zwei Kriterien, so Microsoft. Gepatcht wird im Prinzip, wenn es eine Schwachstelle möglich macht, eine von neun "Sicherheitsgrenzen" zu durchbrechen, die Microsoft in Windows definiert hat. Generell sollen diese Daten, Code und User voneinander abschotten. Dazu gehört zum Beispiel die "Netzwerk-Grenze", die es verunmöglichen soll, dass ein Netzwerkknoten auf Daten oder Code auf einem Endgerät zugreifen kann. Weitere Beispiele sind die Grenzen zwischen Prozessen oder virtuellen Maschinen.
Ebenfalls gepatcht wird im Prinzip, wenn ein Problem in einem von neun primären Sicherheitsfeatures gefunden wird. Dazu gehören unter anderem BitLocker, Secure Boot die Ver­schlüsselungs­schnitt­stelle und Authentisierungs­protokolle.
Die Einschränkung "im Prinzip" ist notwendig, weil es eben noch ein zweites Hauptkriterium gibt, nämlich als wie schwerwiegend Microsoft eine Schwachstelle einstuft. Beziehungsweise ob sie den "Schwellenwert" dafür, im Rahmen des kontinuierlichen Services behoben zu werden, erreicht. Im Rahmen des Blogposts hat Microsoft daher auch erstmals Informationen dazu veröffentlicht, nach welchen Kriterien man in Redmond Schwachstellen in die Risikostufen "kritisch", "wichtig", "moderat" und "tief" einteilt.
Und was nicht
Grundsätzlich keine Service-Patches gibt es dagegen für Sicherheitsfeatures, die Microsoft als "Defense-in-depth security features" bezeichnet. Dazu gehören beispielsweise User Account Control (UAC) oder AppLocker und mehr als ein Dutzend weitere Features. Eine Schwachstelle in einem dieser Features, so begründet dies Microsoft, könne es einem Angreifer nicht ermöglichen, die Kontrolle über einen Computer zu übernehmen, falls er nicht gleichzeitig eine Schwachstelle in einer der oben erwähnten Grenzen oder primären Security-Features ausnützt.
Bounties
Übrigens gibt Microsoft im gleichen Blogpost auch bekannt, für welche Arten von Schwachstellen die Personen, die sie entdecken und melden, eine Belohnung erwarten können. Belohnungen gibt es für alle Schwachstellen in den Bereichen Boundaries und wichtigen Security Features, sowie einen Teil der "Defense-in-depth" Security Features. (hjm)

Loading

Mehr zum Thema

image

Podcast: Sollten noch Produkte von Huawei und Kaspersky eingesetzt werden?

Wir debattieren, was es für die Schweiz bedeutet, wenn Produkte von Firmen aus autoritären Ländern eingesetzt werden. Zudem gehen wir den Transparenzinitiativen von zum Beispiel Kaspersky und Huawei auf den Grund und fragen uns: Sind die Amerikaner eigentlich besser?

publiziert am 30.9.2022
image

Ransomware-Banden kaufen Erstzugänge extern ein

Für nur gerade 10 Dollar können sich Cyberkriminelle auf Darkweb-Flohmärkten Zugänge zu Systemen kaufen. Damit können sie dann Schlimmes anrichten.

publiziert am 29.9.2022
image

Der CTO von Microsoft Azure will künftig auf Rust setzen

Weil die Programmiersprache sicherer und zuverlässiger als C und C++ ist, soll sie in Zukunft vermehrt zum Einsatz kommen. Der C++-Erfinder hingegen sieht die Ablösung als "gewaltige Aufgabe".

publiziert am 28.9.2022
image

Geotech: Huaweis "eiserne Armee" in der Defensive

Huawei-CEO Ren Zhengfei spricht von einem Überlebenskampf, während der internationale Druck zunimmt. Wir haben bei Huawei Schweiz nach Transparenzbemühungen und Geschäftsgang gefragt.

publiziert am 27.9.2022 2