Schwerwiegende Sicherheitsprobleme mit dem Web Browser von Microsoft

Wie sicher ist Ihr Computer?

Von Mike Ingram
18. Januar 2002

Wenn Sie ein Betriebssystem von Microsoft verwenden, dann müsste die Antwort auf die Frage "Wie sicher ist Ihr Computer?" lauten: "Nicht besonders!"

Der Software-Gigant, der im Zentrum einer Reihe von Monopol-Prozessen in den USA und inzwischen auch Europa steht, erweist sich zunehmend als unfähig, die grundlegendsten Sicherheitsbedürfnisse seiner Kunden zu erfüllen. Trotz der Veröffentlichung des neuen Betriebssystems Windows XP, welches viele Sicherheits-Eigenschaften enthält, die in früheren Betriebssystemen wie Windows 98 und 95 nicht enthalten waren, werden Anwender immer noch mit einer stetigen Flut von Viruswarnungen und Meldungen über Sicherheitslücken überhäuft.

Vor kurzem hat ein unabhängiger Forscher, der unter dem Namen "ThePull" auftritt, Microsoft einer schwerwiegenden Sicherheitslücke beschuldigt. Microsoft habe eine "same origin policy" genannte Sicherheitsregel missachtet. Diese Regel soll verhindern, dass Programm-Code einer Website eine Seite einer anderen Site, die in einem anderen Web-Browser-Fenster angezeigt wird, beeinflussen kann.

JavaScript ist eine weit verbreitete Skriptsprache, mit der viele Aktionen wie das Drucken oder Speichern einer Web-Seite usw. automatisiert werden können. Sie enthält das Kommando "document.open", mit dem ein neues Browser-Fenster geöffnet werden kann. Dieses Kommando wird üblicherweise verwendet, um ein zweites Fenster zu öffnen, in welchem eine Druckversion einer Datei angezeigt wird. Websites verwenden das Kommando auch häufig, um ein neues Fenster mit Werbung oder weiteren Informationen anzuzeigen. Die "same origin policy" wurde als Teil des JavaScript-Sicherheitshandbuchs von Softwareingenieuren bei Netscape entworfen (dem Unternehmen, welches den ersten weit verbreiteten Web Browser entwickelt hatte). Die Regel soll fragwürdige Websites daran hindern, auf wichtige Informationen von anderen Websites zuzugreifen, die in Browser-Fenstern angezeigt werden.

"ThePull" beschuldigt Microsoft, diese Regel ignoriert zu haben, und erhebt den Vorwurf, dass die Versionen 5.5 und 6.0 des weit verbreiteten Internet Explorer solche Aktionen erlauben. Damit kann ein Angreifer eine Website entwerfen, mit der Informationen aus Cookie-Dateien gestohlen werden. Cookies sind lokal gespeicherte Dateien, die von Websites verwendet werden, um Besucher bei wiederholten Besuchen identifizieren zu können. Dies ist bei Händlern im Internet üblich. Cookies können alle Arten von Informationen enthalten, von User-IDs und Passwörtern bis hin zu Kreditkarten-Nummern. Ebenso wie zum Diebstahl von persönlichen Information aus Cookies kann die Sicherheitslücke auch verwendet werden, um "spoofing" zu ermöglichen - dabei wird dem Besucher vorgetäuscht, er habe es mit einer vertrauenswürdigen Website zu tun, der risikolos persönliche Daten übermittelt werden können, wie z. B. einer Bank. Über eine solche Lücke wurde öffentlich am 8. November 2001 berichtet. Daraufhin sah sich Microsoft veranlasst, am selben Tag eine Sicherheitswarnung zu veröffentlichen, in der die Empfehlung enthalten war "Active Scripting" zu deaktivieren. Danach wären Anwender gegen solche Angriffe von Websites oder von per Mail betriebenen Varianten der Sicherheitslücke geschützt. Allerdings ergeben sich dann für Anwender Probleme bei Besuchen mancher anderer Websites, wenn diese "Active Scripting" voraussetzen.

Die erste Reaktion von Microsoft auf die neu gemeldete Sicherheitslücke bestand darin, das Unternehmen, welches das Problem bekannt gemacht hatte, der "Unverantwortlichkeit" zu beschuldigen. Microsoft behauptete, vor der Meldung am 8. November nichts über die Sicherheitslücke gewusst zu haben. Nach Angaben in einem Artikel der englischen Website ZDNet UK vom 19. November gab das Unternehmen allerdings später zu, dass es tatsächlich schon eine Woche vorher, am 1. November, informiert war.

Microsoft behauptete, dass zwei ganze Wochen benötigt wurden, um die Sicherheitsmeldung richtig zu untersuchen, und besteht darauf, dass diese Verzögerung keine tatsächliche Sicherheitsverletzung nach sich gezogen habe.

"Wir antworten natürlich nicht sofort - wir müssen erst die Spreu vom Weizen trennen, um herauszufinden, wie ernsthaft die Meldung eines Sicherheitsproblems ist", sagte der für Windows zuständige Produktmarketing-Manager Neil Laver gegenüber ZDNet. "Bis wir das Problem untersuchen konnten, veröffentlichen wir kein Sicherheits-Bulletin, weil das zu unnötigem Aufsehen führen würde."

Aber ZDNet berichtet, dass Microsoft nicht nur keine Meldung über die Sicherheitslücke veröffentlichte, sondern auch keinerlei Rückmeldung an diejenigen gegeben hat, die das Sicherheits-Problem gemeldet hatten.

Das IT-Sicherheitsunternehmen Online Solutions versorgte das für solche Probleme bei Microsoft zuständige Sicherheitszentrum am 1. November mit technischen Details seiner Entdeckung. Microsoft bestätigte den Empfang der Warnung und versprach, das Problem so schnell wie möglich zu untersuchen. Nach einer Woche ohne weitere Reaktion von Microsoft entschied sich Online Solutions dazu, an die Öffentlichkeit zu gehen.

"Wir haben das einzig Richtige getan - diejenigen, die sich auf Software verlassen, die mit vertraulicher Information umgeht, sollten in angemessener Zeit gewahr sein, dass das Programm nicht sicher ist", sagte Jyrki Salmi, geschäftsführender Direktor von Online Solutions.

Sicherheitslücken gibt es keineswegs nur bei Software von Microsoft. Komplexe Anwendungen wie der Internet Explorer mit Millionen Zeilen von Quellcode sind berüchtigt für Fehler, von denen nicht alle in der Betatest-Phase ausgebügelt werden. Ein großer Teil der Arbeit eines Administrators von Computersystemen besteht darin, als Reaktion auf Meldungen über Sicherheitslücken Software-Upgrades zu installieren für die Unzahl von Anwendungen, die auf einem solchen System laufen. Wenn die Softwareentwickler schnell reagieren und die Lücken schnell schließen, dürften die meisten potentiellen Sicherheitslücken zu keinen ernsten Problemen führen. Das Problem mit Microsoft ist nicht, dass seine Programme Fehler aufweisen, sondern, dass Microsoft nicht in akzeptabler Zeit Korrekturen zugänglich macht und bekannte Sicherheitslücken den Anwendern der Software nicht zur Kenntnis bringt, selbst dann nicht, wenn eine einfache Umgehung des Problems möglich ist - wie mit der Deaktivierung von "Active Scripting" in den jüngsten Fällen.

Microsoft behauptet, dass man mit der Veröffentlichung einer solchen Warnung böswillige Hacker auf die Sicherheitslücke aufmerksam gemacht und dadurch die Sicherheit der Anwender noch weiter beeinträchtigt hätte. Eine plausiblere Erklärung dafür ist aber, dass das Unternehmen gehofft hatte, ohne öffentliches Aufhebens eine Korrektur zu veröffentlichen und eine öffentliche Kontroverse zu vermeiden.

Die Kartellklage gegen Microsoft

Während die Gerichte in den USA nach Wegen suchen, um Microsoft für sein Monopolverhalten zur Kasse zu bitten, und neun der ursprünglich an dem Prozess beteiligten Bundesstaaten weiterhin der vorgeschlagenen Schlichtung widersprechen, steigern die Sicherheitsversagen des Unternehmens unzweifelhaft das Bedauern darüber, dass der Software-Gigant nicht zerschlagen wurde, wie es von Richter Jackson vorgeschlagen worden war.

Bei den früheren Gerichtsverhandlungen konnte man erfahren, wie Microsoft seine Monopolstellung bei Betriebssystemen für Arbeitsplätze verwendet hat, um die Marktführung für seinen Internet Explorer zu erreichen. Microsoft hatte Befürchtungen, dass der rivalisierende Web Browser von Netscape, der anfänglich eine viel größere Anwenderzahl hinter sich hatte, sich auch zu einer Alternative zum Windows-Betriebssystem weiterentwickeln könnte. Im Verlauf des Prozesses bestand Microsoft darauf, dass sich der Internet Explorer durchgesetzt habe, weil er ein besseres Produkt als der Netscape Navigator sei. In Wirklichkeit war Microsoft von der raschen Ausbreitung des World Wide Web überrascht worden und hatte dann eilig den Internet Explorer umsonst verteilt, um Marktanteile von Netscape zurückzuerobern.

Die Ablehnung der Vorschläge von Richter Jackson führte zu Rufen nach anderen Beschränkungen der Aktivitäten von Microsoft und Forderungen, dass der Quellcode des Internet Explorer - mit dem die Funktion des Programms definiert ist - zugänglich gemacht werden müsse.

Microsoft versuchte zunächst, seine Monopolstellung damit zu erklären, dass die weite Verbreitung seiner Produkte einfach auf ihrer technischen Überlegenheit beruhe. Allerdings hat der Aufstieg von "Open Source Software" und besonders von Programmen, die auf dem frei erhältlichen Betriebssystem Linux laufen, zu einer Änderung des Tons von Microsoft geführt. Nach Einschätzung der Website des Guardian hat Microsoft "seine auf Technologie beruhenden Argumente aufgegeben und sich dem Gebiet geistigen Eigentums zugewendet, was zunehmend als Ausdruck von Verzweiflung erscheint".

Die Website zitiert Steve Ballmer, den Geschäftsführer von Microsoft, mit dem Worten: "Linux ist ein Krebsgeschwür, welches sich als geistiges Eigentum an alles heftet, mit dem es in Berührung kommt."

Während Microsoft behauptet, dass es bei Open Source darum gehe, dass Leute etwas umsonst haben wollen - kostenlose Software - sind seine Anhänger selten von der Frage der Kosten motiviert. Ihr Hauptanliegen besteht darin, dass Software-Anwender freien Zugang zu dem Quellcode haben, damit er geändert werden kann, um Programme nach Bedarf mit größerer Funktionalität auszustatten oder sie auf andere Weise zu verbessern.

Microsoft ist jetzt auch mit einer Monopoluntersuchung der Europäischen Kommission konfrontiert, der Exekutive der Europäischen Union. Die Europäische Kommission untersucht, ob der Software-Riese seine Marktbeherrschung bei Arbeitsplatz-Betriebssystemen benutzt hat, um auf unfaire Weise den Marktanteil bei Server-Betriebsystemen zu vergrößern. Ein Urteil in diesem Fall wird irgendwann in den nächsten Monaten erwartet. Die Europäische Kommission ist bevollmächtigt, Strafen in Höhe von bis zu 10 Prozent des Umsatzes von Microsoft zu verhängen, das entspricht 2,5 Milliarden US-Dollar.

Was auch immer die Europäischen Kommission entscheidet, ebenso wie bei dem Prozess in den USA wird sie nichts tun, um die Interessen von Millionen einfachen Leuten in der ganzen Welt wahrzunehmen, für die der Umgang mit Computern zu einem immer wichtigeren Teil ihres täglichen Lebens wird. Open Source Software gerät unvermeidlich in direkten Konflikt mit einem Gesellschaftssystem das auf der Anhäufung privaten Profits beruht und von riesigen transnationalen Konzernen wie Microsoft beherrscht wird.

Siehe auch:
Microsoft-Prozess entlarvt rauberische Geschaftspraxis des Konzerns
(3. Juni 2000)
Settlement Reached in Microsoft Antitrust Case
( 6. November 2001)
European Union widens anti-trust case against Microsoft
( 9. August 2000)
Behind the Microsoft antitrust case: computer giants battle for markets and profits
( 11. November 1999)

Kämpft gegen Googles Zensur!

Google blockiert die World Socialist Web Site in Suchergebnissen.

Kämpft dagegen an:

Teilt diesen Artikel mit Freunden und Kollegen