#1 13. August 2009 Microsoft kannte kritische Sicherheitslücke 2 Jahre Die kritische Sicherheitslücke in der Office-Webkomponente (OWC) kannte Microsoft offenbar bereits seit zwei Jahren. Erst als das Problem aktiv ausgenutzt wurde, reagierte Microsoft sehr schnell und stellte einen Patch zur Verfügung. Die Zero Day Initiative (ZDI) meldete im März 2007 das von Peter Vreugdenhil entdeckte Sicherheitsloch. Man erklärte, dass spezielle präparierte Parameter beim Aufruf von msDataSourceObject() dazu führen können, dass es zu Fehlern im Speicher kommt, die ein Angreifer ausnutzen könnte. Allerdings reagierte Microsoft für lange Zeit gar nicht. Die ZDI erklärte nun gegenüber heise Security , dass Microsoft immer wieder mehr Zeit benötigt, um ein Problem richtig zu beheben. Das Verhalten von Microsoft änderte sich aber schlagartig, als im Juli 2009 bekannt wurde, dass die Lücke bereits aktiv ausgenutzt wird, um Windows-Anwender beliebigen Code unterzuschieben. Microsoft gab daraufhin ein Security Advisory heraus, um die Anwender vor der Sicherheitslücke zu warnen. Darin kündigte man auch die schnellstmögliche Entwicklung eines Patches an. Dieses Versprechen hielten die Redmonder auch - vor zwei Tagen am August-Patchday wurde das Security Bulletin MS09-043 veröffentlicht, dessen Patch die Sicherheitslücke schließt. quelle - http://winfuture.de/news,49013.html Schon dreist von MS, aber naja, so ist das leben mit MS Produkten =) + Multi-Zitat Zitieren
#2 14. August 2009 AW: Microsoft kannte kritische Sicherheitslücke 2 Jahre ^^, ja immerhin wurde sie behoben als Andere anfingen diese Lücke für sich zu benutzen. Natürlich hätte man da schon eher was machen können, aber der Mensch ist ja von sich aus faul und reagiert nur/erst, wenn's unbedingt nötig wird . Kann MS da keinen Vorwurf machen, aber wirft natürlich nicht das beste Licht auf solch ne Firma, wenn sowas an die Öffentlichkeit gerät + Multi-Zitat Zitieren