Wir stehen dazu: offen, transparent, unabhängig

30 Aug 2019

Kaspersky hat in den letzten Monaten Patches für einige seiner Produkte aufgespielt. Das ist nichts Besonderes. Das tun wir jedes Jahr diverse Male, wie andere Unternehmen – beispielsweise Microsoft und Adobe – auch. Denn unser Anspruch ist, uns und unsere Produkte und Lösungen stetig zu verbessern. Wir arbeiten seit über 20 Jahren jeden Tag dafür, unsere Kunden – vom Heimanwender bis hin zu großen Unternehmen und Regierungsorganisationen – in die Lage zu versetzen, das zu schützen, was ihnen am wichtigsten ist. Egal, ob Privatsphäre, Familie, Finanzen, Kunden, Unternehmenserfolg oder kritische Infrastrukturen – wir haben es uns zur Aufgabe gemacht, all das zu schützen.

Transparenz steht bei uns an erster Stelle

Alle Schwachstellen, die wir behoben haben, listen wir umgehend und öffentlich in unserem Vulnerability Report: List of Advisories. Das ist ein branchenübliches Vorgehen. Dort stehen für 2019 bisher vier behobene Schwachstellen, die wir aus aktuellem Anlass hier noch einmal darlegen möchten:

XSS-Angriffsschwachstelle – behoben am 18. April 2019

Kaspersky hat ein Sicherheitsproblem in seinen Produkten behoben, das es Cyberkriminellen potentiell ermöglicht hätte, im Microsoft-Edge-Browser über eine URL-Advisor-Komponente schädliche Skripte in den Kontext anderer Domains zu injizieren und auszuführen. Um dies zu erreichen, hätte der Angreifer den Nutzer auf eine speziell hierfür erstellte Webseite locken müssen.

Kaspersky hat zudem die Web-Schutzkomponente mit zusätzlichen Sicherheitsmaßnahmen verbessert, um Anwender vor MITM-Angriffen (Man-in-the-Middle-Angriffen) zu schützen – einschließlich solcher, die auf HSTS-Webressourcen (HTTP Strict Transport Security) ausgerichtet sind.

Diese Sicherheitsprobleme wurden in den Versionen 2019 unserer Produkte, darunter Kaspersky Anti-Virus, Kaspersky Internet Security, Kaspersky Total Security, Kaspersky Free Anti-Virus und Kaspersky Small Office Security, durch Patch E behoben, der am 18. April 2019 veröffentlicht wurde und an die Kunden im Rahmen eines automatischen Aktualisierungsverfahrens ausgeliefert wurde. Anwender der neuesten Versionen unserer Produkte (ab 2020) sind von diesen Problemen nicht betroffen.

Wir danken dem Forscher Wladimir Palant, der das Sicherheitsproblem entdeckt und uns verantwortungsbewusst gemeldet hat.

Ronald Eikenberg, Journalist des Magazins für Computertechnik c’t magazine, hat diese schon seit langem behobene Schwachstelle nun „entdeckt“ und heute als „weitere Lücke“ veröffentlicht.

Wir sind der festen Überzeugung, dass es für die gesamte Sicherheits-Branche wichtig ist, dass Schwachstellen gefunden, gemeldet und schnellstmöglich behoben werden und wir schätzen die kontinuierlichen Bemühungen der unabhängigen Forscher und weiterer Experten wie Journalisten, die uns helfen, unsere Produkte und Lösungen effizienter und besser geschützt zu machen. Deshalb haben wir – wir andere Unternehmen der Technologiebranche auch, darunter Apple, Microsoft und Adobe –  2016 unser Bug-Bounty-Programm ins Leben gerufen. Wer uns auf schwerwiegende Schwachstellen in unseren Produkten hinweist, kann sich darüber eine Belohnung sichern. Wir sind jedoch auch der Meinung, dass Vertrauen unnötig unterminiert wird und es dem Schutz der Allgemeinheit nicht dienlich ist, wenn Altes als vermeintlich aktuelle Neuigkeit kommuniziert wird.

Datenleck in Kasperskys Verbraucherprodukten und Kaspersky Small Office Security – behoben am 7. Juni 2019

Kaspersky hat den Prozess der Überprüfung von Webseiten auf bösartige Aktivitäten geändert, indem die Verwendung spezifischer Kennungen / Identifikatoren in URLs für Skripte, die im Kontext einer Website laufen, entfernt wurden. Diese Änderung wurden umgehend vorgenommen, nachdem Ronald Eikenberg uns mitgeteilt hatte, dass die Verwendung eindeutiger Identifikatoren für GET-Anfragen möglicherweise zur Offenlegung der personenbezogenen Daten eines Benutzers führen kann.

Unsere Lösungen für Unternehmen sind – mit Ausnahme von Kaspersky Small Office Security bis Version 6 – nicht betroffen.

Details zur behobenen Schwachstelle und Informationen für Anwender haben wir in einem vorhergehenden Post dargelegt.

Schwachstelle durch Speicherüberlauf (Buffer-Overflow) auf dem Heap – behoben am 4. April 219

Kaspersky Lab hat ein Sicherheitsproblem in seinen Produkten behoben, das es Dritten potentiell ermöglicht hätte, beliebigen Code auf dem PC eines Nutzers mit Systemprivilegien auszuführen. Der Sicherheitsfix wurde am 4. April 2019 durch ein Produkt-Update zur Verfügung gestellt.

DLL Hijacking Bug – behoben am 13. März 2019

Kaspersky hat eine Schwachstelle in Kaspersky Endpoint Security Version 11.0.1 behoben, die es Cyberkriminellen potentiell ermöglicht hätte, beliebigen Code mit Nutzerberechtigungen und ohne Berechtigungserweiterung lokal auszuführen. Diese Schwachstelle wurde als DLL Hijacking Bug registriert und der Sicherheitsfix wurde in der aktualisierten Version Kaspersky Endpoint Security 11.1, die seit 13. März 2019 zur Verfügung steht, vorgenommen.

Wir lassen auf Worte Taten folgen

Das Vertrauen der Kunden in uns und unsere Produkte ist unser höchstes Gut. Deshalb haben wir im Oktober 2017 unsere Globale Transparenzinitiative ins Leben gerufen, um Skeptikern zu beweisen, dass man uns als Sicherheitsunternehmen vollstes Vertrauen schenken kann – nicht nur aufgrund unserer Worte, sondern vor allem aufgrund unserer Taten.

Die Globale Transparenzinitiative hat das Ziel, die Informationssicherheits-Community sowie weitere Interessensgruppen in die Validierung und Verifizierung der Vertrauenswürdigkeit seiner Produkte, internen Prozesse und Geschäftsabläufe einzubeziehen. Zu den konkreten Maßnahmen gehören:

  • Unabhängige Überprüfung des Quellcodes des Unternehmens, Softwareupdates und Bedrohungserkennungsregeln
  • Unabhängige Überprüfung der sicheren Entwicklung der Lifecycle-Prozesse sowie der Strategien zur Risikominimierung in der Software-Entwicklungskette
  • Weltweite Transparenzzentren, um Sicherheitsbedenken gemeinsam mit Kunden, vertrauenswürdigen Partnern und Regierungsvertretern anzugehen. Das erste Zentrum wurde im November 2018 in Zürich (Schweiz) eröffnet und bietet Partnern die Möglichkeit, den Unternehmens-Code, Software-Updates und Regeln zur Bedrohungserkennung zu überprüfen sowie weitere Aktivitäten. Im Juni 2019 hat Kaspersky ein weiteres Transparenzzentrum in Madrid und im August in Kuala Lumpur eröffnet. Weitere Transparenzzentren werden bis 2020 in Asien und Nordamerika eingerichtet.
  • Die Prämien für das Bug Bounty Programm wurden im Rahmen des Vulnerability Disclosure-Programms von Kaspersky auf bis zu 100.000 US-Dollar für schwerwiegende Schwachstellen erhöht.