Nachweise von Sicherheitslücken in Microsoft Windows sind zuletzt mehrfach veröffentlicht worden, ohne dass es dafür ein Sicherheitsupdate gegeben hat. Solche Lücken wurden dann auch ausgenutzt, etwa bei den ungepatchten Windows-Zero-Days RedSun, UnDefend und BlueHammer. Das missfällt Microsoft. Der Konzern droht mit Klagen und der Polizei. Der Entdecker der Windows-Lücken stellt die Vorwürfe in Abrede.
In einem Blogpost ärgert sich das Microsoft Security Response Center (MSRC), dass es nicht vorab über die Sicherheitslücken informiert wurde. Das gehört grundsätzlich zum guten Ton in der IT-Sicherheitsbranche: Im Rahmen standardisierter Coordinated Vulnerability Disclosures (CVD) informieren Entdecker einer Sicherheitslücke die Zuständigen und geben diesen beschränkte Zeit, Updates herauszugeben, um den Fehler zu beheben. Große Einrichtungen belohnen Entdecker für verantwortungsbewusste Offenlegung zudem regelmäßig finanziell.
CVD soll verhindern, dass die Sicherheitslücken aktiv ausgenutzt werden, und gleichzeitig die Herausgeber von Software dazu anhalten, ihre Produkte flott abzusichern. „Unkoordinierte Veröffentlichungen, die Proof-of-Concept-Code für ungepatchte Lücken Tunichtguten zur Hand geben, sind nicht zu rechtfertigen und haben echte Konsequenzen”, schreibt das MSRC. Microsoft werde nicht davon ablassen, sowohl die eigentlichen Täter als auch die Veröffentlicher zu verklagen „– nach Bedarf in Kooperation mit Strafverfolgungsbehörden in aller Welt”.
