Gepatzt statt gepatcht: Kritik an Microsofts geplantem WMF-Update

Die Ankündigung, dass Microsoft die WMF-Lücke erst am 10. Januar als Teil des monatlichen Security Bulletins schließen will, ist auf harsche Kritik gestoßen.

Die Ankündigung, dass Microsoft die WMF-Lücke (Windows Meta File) erst am 10. Januar als Teil des monatlichen Security Bulletins schließen will, ist auf harsche Kritik gestoßen. Bis dahin überlasse man die Anwender ungnädig ihrem Schicksal, werfen Sicherheitsexperten dem Unternehmen vor.

Das Internet Storm Center (ISC) schreibt auf der Kommentarseite Handlers’s Diary, die IT-Leiter müssten sich nun fragen, ob sie das riskante Spiel spielen und auf den Patch warten wollten. Sie müssten sich überlegen, ob sie es sich leisten können, noch eine weitere Woche mit einer Lücke zu leben und es darauf ankommen lassen, dass kein Hacker ihr Netz angreift.

Damit muss allerdings gerechnet werden. Eine Vielzahl von Systemen sind derzeit löcherig und deshalb leichte Angriffsziele für Eindringlinge. Und: die Hacker haben die Zeit auf ihrer Seite. Je länger die Schwachstelle besteht, desto mehr erfahren sie über die Lücke und desto ausgebuffter ist dann der Exploit. Es handele sich wohl nur noch um Tage bis es einen Wurm gebe, der sich selbst weiter verbreite und noch mehr Systeme infiziere, sagen Experten. 

Mitarbeiter des ISC hatten am Dienstag einen inoffiziellen Patch von Ilfak Guilfanov verifiziert und zum Download auf dessen Webseite verwiesen. Die war zeitweise nicht erreichbar und beim ISC vermutete man, dass die Bandbreite wohl nicht ausreiche, dem Ansturm an Patch-willigen Anwendern Stand zu halten. Es könnte aber auch sein, dass sich Hacker daran schon zu schaffen gemacht haben. Bestätigt wurde diese Spekulation indes nicht.

Von Seiten Microsofts heißt es, man wolle keinen unfertigen Patch anbieten, sondern solange testen, bis er keine anderen Teile des Betriebssystems in Mitleidenschaft gezogen würden. Das kann nämlich passieren, so wie im November 2005 als Microsoft Updates in manchen Fällen die Funktionen von Websites beeinträchtigen und dann ganz normale Basisfunktionen nicht mehr ausgeführt werden konnten.

Die Kritik greift nicht die Existenz des monatlichen Patchdays an sich an, der seit 2003 in regelmäßigen Abständen Sicherheits-Updates liefert. In Ausnahmefällen muss aber die Möglichkeit eines Notfall-Patches bestehen. Dass Microsoft schneller reagieren kann, hat der Konzern Anfang Dezember bewiesen, als eine Lücke im Internet Explorer diesen Schritt erforderte. Bei der aktuellen Lücke hat der Softwareanbieter aber offenbar gepatzt statt gepatcht.