Microsoft überdenkt Patch-Strategie

Seit einigen Tagen tummeln sich zahlreiche Webseiten im Internet, die eine gefährliche Anfälligkeit im Internet Explorer ausnutzen [1]. Sie ermöglicht die Ausführung von beliebigem Code. Microsoft wird voraussichtlich erst am nächsten Patch-Tag ein Sicherheitsupdate bereitstellen. Er findet am 11. April statt. Viele Sicherheitsexperten und Anwender sehen diese Wartezeit als zu lange an. Angreifer haben damit weitere zwei Wochen Zeit, um Opfer auf ihre Seiten zu locken. Microsoft sucht deshalb nach neuen Wegen, um schnellere Sicherheitsupdates anzubieten. Einen konkreten Plan hat das Unternehmen aber noch nicht. Diskutiert wird etwa die Veröffentlichung von Vorabversionen neuer Patches. Hier sieht Microsofts Security Program Manager Stephen Toulouse jedoch "einige grosse Herausforderungen"; an vorderster Stelle die Qualitätssicherung. Microsoft müsse die Sicherheitsupdates auf verschiedensten Plattformen prüfen. Man könne niemanden zurücklassen. Zudem sei es möglich, dass mit einem Beta-Patch neue Probleme eingeführt würden.

Mittlerweile sind deshalb unabhängige Sicherheitsfirmen in die Bresche gesprungen. eEye bietet etwa einen "vorübergehenden Patch" für die Internet-Explorer-Lücke an [2]. Andere Schutzmöglichkeiten sind die Deaktivierung von ActiveX unter dem Menüpunkt "Extras/Internetoptionen/Sicherheit/Internet/Stufe anpassen" oder der Umstieg auf einen anderen Browser wie Firefox [3] oder Opera [4].