Security-Forscher: Gefahr durch Microsoft Update
Computerwissenschaftler der Carnegie Mellon University, University of California at Berkeley und der University of Pittsburgh entwickelten eine Software, die aus dem Microsoft Software Update System eine automatisierte Angriffsmaschine gegen beliebige Rechner macht. Die automatic patch-based exploit generation (APEG) vergleicht dabei den Patch mit der ungepatchten Software und findet auf diesem Weg zuverlässig die Sicherheitslücke, auch wenn diese zuvor noch nicht veröffentlicht wurde.
Tatsächlich hat Microsoft bereits eingeräumt, dass ein Drittel der Sicherheitsprobleme vor oder nach einem Patch von Exploits betroffen waren. Der Verdacht liegt also nahe, dass auch andere Experten bereits den Trick kennen. Dazu der am Projekt beteiligte David Brumley von der Carnegie Mellon University: “Wenn Microsoft einen Patch herausgibt, sagen sie dadurch, wo der Exploit möglich ist”.[fe]