Web

 

Streit um Bugtraq-Eintrag: Aufklären oder schweigen?

20.11.2002

MÜNCHEN (COMPUTERWOCHE) - Spätestens seit Microsofts Forderung, Sicherheitslücken geheimzuhalten, bis entsprechende Bugfixes verfügbar sind (Computerwoche online berichtete), herrscht ein Streit darüber, ob Security-Alerts hilfreich sind oder Hackern als Anleitung dienen. Viele Experten sind der Ansicht, Hersteller würden Patches nur sehr langsam oder überhaupt nicht zur Verfügung stellen, wenn nicht öffentlich vor in betreffenden Anwendungen entdeckten Lecks gewarnt würde. Andere, wie der oberste US-Sicherheitswächter Richard Clarke, meinen, Anbietern müsste eine angemessene Frist zur Entwicklung der Fehlerbereinigungen eingeräumt werden.

Nun erhitzt ein Eintrag in die Mailing-Liste Bugtraq erneut die Gemüter. Der Autor beschreibt darin detailiert einen so genannten Exploit (Exploit = Anwendung, mit der sich gezielt einzelne Sicherheitslücken ausnutzen lassen), der die Festplatten von Anwendern der Versionen 5.5 und 6.0 des Internet Explorers formatiert, wenn diese manipulierte Web-Seiten aufrufen. Er verstehe nicht, sagte der unabhängige Sicherheitsexperte Richard Smith, inwiefern die Veröffentlichung des Exploits die Sicherheit betroffener Systeme erhöhe.

Vielmehr helfe der Anitivirenhersteller Symantec, der die Mailing-Liste hostet, Script Kiddies, Internet-Seiten entsprechend zu präparieren. Offenbar werde das Forum nicht mehr moderiert, nachdem es von Symantec übernommen wurde (Computerwoche online berichtete). Der Eintrag sei explizit zur Veröffentlichung in Bugtraq freigegeben worden, erwiderte Symantec-Sprecherin Genevieve Haldeman. Die Mailing-Liste gelte als unabhängige Kommunikationsplattform für Sicherheitsexperten und habe die Aufgabe, vor Gefahren dieser Art zu warnen, bevor sie "in the wild" auftauchen.

Der Exploit werde zur Zeit untersucht, sagte eine Microsoft-Sprecherin. Nach bisherigem Kenntnisstand seien Anwender auf der sicheren Seite, wenn sie die aktuellen Service Packs für die betroffenen Browser (SP1 für IE6, SP2 für IE 5.5) einspielen. (lex)