Microsoft hat in aller Verschwiegenheit drei weitere Sicherheitslöcher im vergangenen Monat geschlossen. Zwei davon betrafen den Exchange-Server. Zwei der drei nicht angekündigten Sicherheits-Updates wurden in aller Stille mit MS10-24, einem Update für Exchange und Windows SMTP, ausgeliefert.
Laut Ivan Arce, CTO von Core Security Technologies, stopfte Microsoft die Löcher, kündigte dies allerdings nicht an. Problematisch sehe er hier, dass Administratoren wegen Unwissenheit die falschen Entscheidungen bezüglich des Updates treffen könnten. Sie brauchen solche Informationen, um eventuelle Risiken abschätzen zu können.
Gefunden wurde diese Heimlichkeit von Nicolas Economou. Er schreibt Exploits für Core Labs, um diese im Testpaket für Sicherheit Core Impact einzupflegen. Ein drittes verschwiegenes Update befindet sich in MS10-28 für Microsoft Visio. Microsoft bestätigte das Entdeckte und verteidigte das Vorgehen. Wenn eine Schwachstelle gemeldet würde, untersuche Microsoft das sorgfältig. Sollte sich während der Prüfung eine andere Sicherheitslücke finden lassen, würde man diese sofort mit ausbessern.
Diese Praxis reduziere die Anzahl der Updates, die Kunden einzuspielen haben. Sollte so eine intern entdeckte Schwachstelle einen eigenständigen Flicken benötigen, würde man dies auch in einer separaten Sicherheits-Anweisung öffentlich machen. (tecchannel; jdo) (wl)