Exploitability Index überarbeitet – gesonderte Einstufung neuer Softwareversionen

Microsoft hat den seit Oktober 2008 verwendeten Exploitability
Index verbessert. Der Index ist ein Zahlenwert und wird jedem der monatlich
veröffentlichten Sicherheitsbulletins zugeordnet. Die Ziffer sagt aus, wie
wahrscheinlich eine durch das Update geschlossene Sicherheitslücke binnen 30
Tagen durch einen Angriff missbraucht wird. Kunden konnten so das Testen und Verteilen
von Updates besser priorisieren.

Mit den kommenden Dienstag veröffentlichten Mai-Sicherheitsbulletins
werden zwei Werte pro Bulletin veröffentlicht: Eine Ziffer, die den Index für
die jeweils jüngste Version der betroffenen Software angibt und eine Ziffer für
alle übrigen, älteren Varianten. Auf diese Weise können Nutzer der jeweils
neuesten Version das Risiko auf den ersten Blick erfassen.

Microsoft reagiert mit dem überarbeiteten Index auf
Rückmeldungen von Kunden und trägt der Tatsache Rechnung, dass Schwachstellen
in den modernen Versionen schwieriger oder gar nicht ausnutzbar sind. So
verfügt Windows 7 beispielsweise über Address Space
Layout Randomization (ASLR), eine Funktion, die Angriffe deutlich erschwert,
beim Vorgänger Windows XP aber fehlt. Läge Exploitcode vor, der beide
Betriebssysteme betrifft, dann würde das Bulletin für Windows 7 mit einer „2“
bewertet, wohingegen das Update für Windows XP aufgrund der höheren Gefahr mit
einer „1“ bedacht würde.

Wie die US-Kollegen vom MSRC (Microsoft Security Response
Center) in einem Blog-Beitrag
ausführen, hätte beispielsweise das im April veröffentlichte Bulletin MS11-021
die Version Excel 2010 weniger stark gefährdet (Index „2“) als alle älteren
Varianten (Index „1“). Einer internen Untersuchung zufolge waren bei 37 Prozent
der seit Juli 2010 veröffentlichten Updates die jeweils neuesten Versionen
weniger stark oder gar nicht von der geschlossenen Lücke betroffen. Von daher
wird die neue Version des Exploitability Index in vielen Fällen wertvolle
Unterscheidungshilfe leisten.