HP Sicherheitsexperten: Microsoft schließt angeblich Explorer-Lücken nicht
Sicherheitsexperten der HP Zero Day Initiative äußerten sich erstmalig über Lücken in Microsofts Internet Explorer. Da sich das Unternehmen bisher beharrlich weigert, vorhandene Lücken zu schließen und auch die User damit einem größeren Risiko aussetzt, gehen die HP Spezialisten einen ungewöhnlichen Weg und veröffentlichen auf dem firmeneigenen Sicherheits Blog wichtige Details zu den Browserlücken.
Die Spezialisten haben ein eigenes „Vulnerability disclosure Programm“ erarbeitet und sich an die wichtige Regel gehalten, Forschungsergebnisse im Sicherheitsbereich immer an die Unternehmen weiterzugeben. So auch 2014, als die gefundenen Sicherheitslücken im Internet Explorer an Microsoft weitergeleitet wurden. Dafür erhielt das Sicherheitsteam eine Prämie von 125.000 US Dollar aus dem Microsoft Programm „Mitigation Bypass Bounty“. Nach sechs Monaten Stillschweigen – üblich bei solchen Forschungen – berichtete die Zero Day Initiative im Februar 2015 über die Sicherheitslücken im Internet Explorer, ohne ins Detail zu gehen.
Absage von Microsoft: Lücken werden nicht geschlossen ?
Microsoft hat der HP-Initiative vor Kurzem mitgeteilt, dass die gefundenen Sicherheitslücken im Explorer nicht geschlossen werden. Das Unternehmen begründete den Schritt mit der Installation einer MemoryProtection im Juli 2014 und einem ausreichenden Schutz der 64 Bit Variante durch ASLR.
Doch gerade im ASLR sehen die Sicherheitsexperten größere Probleme. Betroffen sind die millionenfach installierten 32 Bit Versionen des Internet Explorer. Durch die Lücken bleibt der Explorer weiterhin sehr angreifbar. Aus diesem Grund veröffentlichten die Experten entgegen ihrer Gepflogenheiten die Details zu der Sicherheitslücke auf dem Blog und hoffen nun auf eine Nachbesserung von Microsoft.
Ob die wirklich kommt, ist fraglich, plant Microsoft doch bereits Windows 10 ohne den Internet Explorer und arbeitet an einem neuen Domainbrowser. Warum also den Internet Explorer noch aufrüsten, wenn er bald nicht mehr da sein wird?
Nicht nur die IT Experten meinen dazu: Solange der Internet Explorer den Usern zur Verfügung steht, müssen aktuelle Sicherheitsprobleme umgehend behoben werden, um der Cyberkriminalität keine Plattform zu bieten. Ansonsten hilft nur der Wechsel zu einem anderen, sicheren Domain Browser.