Vista: Microsoft bezieht Stellung zum Kernel-Hack

Windows Vista Microsofts Entwicklungs-Chef für Windows Client-Systeme, Austin Wilson, hat im Sicherheits-Weblog des Vista-Teams Stellung zu dem auf der Hacker-Konferenz Black Hat gezeigten Weg bezogen, mit dem unsignierter Code in den Kernel des neuen Windows ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
mal wieder ins eigene bein geschossen... aber naja er hat shcon recht... sicherheit is Unmöglich... das is einfach nicht hinzubekommen... aber ich denke ms hat da shcon gute leistungen gebracht... das es aber gleich bei den ersten verscuhen geklappt hat und noch was gefunden wurde... naja kann man sehn wie man will: ja is ja das erstemal deswegen wurde es gemacht... oda auch das man nichmal viel zeit brauchte um was zu finden... denke das es sich ausgleicht...
 
Hast du dir den Hack ernsthaft mal angeschaut? Die Polin macht sich AMDs Virtualisierungstechnik zu Nutze. Das ist ja wohl Aufwand max! Ich frage mich, wie lange sie das OS studiert hat, um an diesen Hack zu kommen. IMO merkt man schon deutlich, dass MS die Hürden für Hacker inzwischen derart hochgeschraubt hat, dass man in den meisten Fällen von einem sicheren System sprechen kann. Eigene Dummheit oder Leichtsinn durch Patch.exe Klicken :) ausgeschlossen.
 
@The_Jackal: Mit Windows XP sollte auch alles drastisch sicherer werden... mit dem SP2 sollte eine riesen Wende kommen... und wenn wir mal zurückschauen... mehr als Marketing war es nicht. MS hat etliches neu entwickelt und wird wieder etliche Lücken mitbringen. Glaub mir, in einem Jahr sitzen wir hier wieder wartend auf den Patchday und zählen wieder die Lücken die ohne zutun des Nutzers zur Kompromittierung führen.
 
@ ratedochmal: Das grundsätzliche Problem ist einfach das Windows das meistverwendetste Betriebssystem ist. Daher haben es die meisten Hacker, Viren, Würmer etc. etc. darauf abgesehen. Und da in userer heutigen Welt absolut nicht Perfekt ist, warum sollte man das dann von einem Betriebssystem erwarten? Natürlich kommt auch dazu das die meisten Windows Anwender die nicht gerade in ner Firma sitzen Admin Rechte haben...und da ungewollte von gewollten Änderungen zu unterscheiden ist wirklich nicht leicht.
 
@phil_i_shave: Es geht doch nicht um Viren und Würmer sondern um Lücken die immer wieder auftauchen und kaum gepatcht werden. Das könnte MS mit all den Resourcen schon abstellen.
 
Ich kann diesem Wilson nur zustimmen. Ich habe es aber schon versucht anderen hier im Forum im ersten Thread zu erklären. Der Angriff, der aber eigentlich einen hohen Aufwand erfordert seitens Hacker, muss mit vollen Admin-Rechten gemacht werden. IMO ist das OS für die nächsten Paar Monate oder ein halber Jahr schon sicher und für die meisten Hacker wird es eh nicht zu machen sein. 100% Sicherheit gibt es eben nicht, aber die Hürden sind inzwischen sehr sehr hoch.
 
[quote]verfügt. Genau sei ist die Voraussetzung[/quote]
Ich glaube, das sollte "sie" heissen. Nicht "sei"
 
@GabberFun: "Genau diese Rechte sind die Voraussetzung...." passt eher als sie. Wenn schon sie dann "Genau sie sind die....." und nicht "Genau sie ist die...." :) *fg*
 
@GabberFun: Die übliche Copyright von nims Beiträgen damit man gleich erkennt woher er kommt wenn der Text von einer anderen Seite übernommen wird. Man könnte auch ein Suchspiel daraus machen: Wie lange braucht man diesesmal um den/die Fehler zu finden... :) (pers. Rekord: 3s)
 
ja, als Admin kann man auch Viren einschleusen, Trojaner installieren, den Firewall öffnen, usw.
Es ist doch ein Witz, dass der Hack nur mit Admin-Rechten läuft...
 
@Steve: jup so siehts aus ...
 
Ist doch normal, dass andere Leute "schnell" einen Fehler finden wenn man diesen Code nicht selbst verfasst hat. Wer programmiert kennt das Problem, dass man bei der Fehlersuche im Programm immer wieder über den Fehler drüber liest und ihn erst nach dem x. mal findet. Sucht jemand anders für dich den Fehler findet dieser in meist schneller als man selbst, weil er nicht bis dato noch nicht wusste was im Code drinnen steht und erst alle Funktionen blabla nachvollzieht und genau dabei Ungereimtheiten findet. Denke mal, dass das hier der gleiche Effekt ist :)
 
Mal ganz profan gesprochen: PC's sicherer machen ist ein guter Ansatz, auf der anderen Seite sollte man aber vielleicht die Verfolgung und Bestrafung von Cyber-Kriminellen drastisch erhöhen. Dieser Krieg auf binärer Ebene nervt nur noch, kostet Geld (Anti-Dies, Anti-Das) - man sollte diesen Typen, die ihre kranke Psychologie nicht im Griff haben (oder aus anderen Gründen sich profilieren oder bereichern wollen) , einfach mal paar kräftig aufs ... Punkt. Sich hinter einem PC verstecken und destruktiven Code fabrizieren, für den man sich dann selbst auf die Schulter haut, ist letzten Endes nur ein Zeichen, daß man es hier mit feigen Würstchen zu tun hat - in der realen Welt würden die es sich ja nicht trauen, ihren kleinen miesen Psycho durchzuziehen.
 
@gordonflash: Das Bild von denen die im Kämmerlein sitzen und Rechner angreifen kannst du glaube ich vergessen. Sicherlich wird es diese Skript Kiddys vereinzelt noch geben, aber der größere Teil der Schädlinge ist irgendwo an Profit behaftet. Das bedeutet da stecken ganze Organisationen und Industrien dahinter. Und wo Geld im Spiel ist ( auch im Bereich der Anti- Fraktion)da stecken starke Lobbys dahinter. Wieviele Jahre schon nerven Spams? Und was passiert zur Bekämpfung? Wir können uns eine Spamfiltersoftware nach der anderen kaufen. Aber auf der Spam Erzeugerseite ( Schließlich will das Viagra ja auch wer verkaufen) passiert so gut wie nichts. Auf Providerseite gäbe es viele Möglichkeiten, aber auch Spams, Trojaner und Viren erzeugen einen riesigen Traffig der Geld bringt.
 
@gordonflash: Schon mal überlegt WARUM es soviel Anti-Dies & Anti-Das gibt? Ich will ja hier keine Verschwörungstheorien verbreiten aber Anti-Dies-und-Das-Software muß sich ja auch verkauft werden können...

Think about it!
 
Das Sicherheitsrisiko liegt meist am Benutzer selbst. Ich fände und finde es nicht gut wenn die Adminrechte noch eingeschränkter werden als Sie schon sind, vorallem für Entwickler stellt das eine Hörde dar auch wenn MS inzwischen vieles offen legt um die Entwicklung von dritt Software zu vereinfachen (bzw. weil GerichtlichMS dazu gedrängt wurde). Wer mit root Rechten surft bzw. sein System dritten Personen zugänglich macht, trägt selbst dafür Verantwortung. Man muss auch in betracht ziehen, dass wenn es so weiter geht wir nicht das System beherrschen sondern das System uns (für Firmen die daraus Profitieren sicherlich gut für mich sicherlich nicht).
 
tja.. warum geht das dann bei mac os x? vista? nein danke..!
ich bleibe solange bei xp wie es noch geht und dann hole ich mir einen mac.
 
@alicologne: dann holste dir nen macbook pro und und jeder der sich n bissle mit der materie befasst knackt dir in 60s deine wirelessverbindung.
ausserdem gibbet auch viren für mac. Wenn tausende leute zum mac wechseln würden, werden sich die cracker und hacker auch stärker damit befassen. Das absolut sichere system gibts nicht.
 
@alicologne: Da muss ich -=[J]=- Recht geben. Bei Windows werden aufgrund der vielen Nutzung die Lücken wahrscheinlich auch eher aufgedeckt.
 
+ windowsrechner sind wohl eher ein Ziel als eine Minderheit von OSX Benutzern.
__- noch __-
 
*g* Mach dir mal keine Sorgen... Mac´s und Linuxrechner wurden auf der Con nicht vernachlässigt. Man liest nur nix drüber weil es nur eine Minderheit interessiert. Aber wenn Microsoft Tausende Kopien von Vista unters Volk bringt und eine einzige Sicherheitslücke (offiziell) gefunden wird, ist der Teufel los... .../.../
 
Ich habe erst letztens wieder einen Hack Contest beobachtet, wo etliche Linux Lücken ausgenutzt wurden. Glaub also nicht, dass du mit einem Mac besser bedient wärst.
 
immer dieses "blabla os ist viel besser und sicherer als ms windows". die leute, die sowas schreiben sind derart geistig beschränkt, dass es wahrscheinlich sogar genau die sind, die eine trojaner-exe selber ausführen.
von ms windows sicherheitslücken hört man NUR so oft, weil es verdammt nochmal so gut wie jeder hat.
kaum springen mehr und mehr nutzer auf ein angeblich doch ach so sicheres system, so wird es für die "dunkle seite" interessanter, trojaner, viren und sonstiges einzuschleusen. und jedesmal kann man nur darüber lachen, wie sich dann die meldungen von hacks usw. dafür häufen.
es ist doch ganz einfach -=> keine der seiten schläft! der vorteil ist, dass auf der entwicklerseite ein team zusammenarbeitet um ein kreatives werk vor eingriffen zu schützen. meist hat die andere seite dies jedoch durch überdurchschnittlichen fleiß in einer kleinen gruppe oder allein soweit aufgeholt, dass es die möglichkeit hat, hürden der entwicklerseite zu umgehen. es weiß mittlerweile jedes kind, dass es ein ewiges hin und her ist... es wird somit niemals ein vollständig sicheres system geben! aber bitte, postet gerne weiter, dass ihr von ms abspringt, weil ihr euch was sicheres sucht.... wenn ihr meint....
 
@Kennbo: Der Unterschied besteht nicht in der Zahl der Lücken sondern darin wie der Hersteller damit umgeht. Linux Anbieter bringen binnen Stunden Updates... beheben jegliche Lücken... auch Apple liefert umfangreiche Patchpakete nach... und Microsoft... über 20 bekannte Lücken im IE offen... über 30 bekannte Lücken in XP offen... über 10 bekannte Lücken im Server 2003 offen. DAS ist der kleine aber feine Unterschied. Nur zum Vergleich... RedHat - 0 bekannte Lücken offen ... OSX - 0 bekannte Lücken offen. Also bevor du nochmal über Sicherheit bei Microsoft lamentierst... informier dich über die Tatsachen.
 
@ratedochmal: Diese "0 Lücken Infos" hast du woher? Die bösen, bösen Hacker würden dich für diese Aussage zwar sicherlich nicht auslachen, aber nur weil sie es für Ironie halten... *g*
 
@ratedochmal. bei MacOSX sowie bei Linux tauchen immer wieder Sicherheitslücken auf, siehe CT oder ander informative Quellen, das entscheidene ist aber, das sich keine Sau für diese Betriebssysteme interessiert, deswegen auch die geringere Anzahl an Lücken. Desweiteren ist "M$" nunmal der böse Buhmann gegen den gewisse Gruppierungen meinen einen Kleinkrieg führen zu müssen, weiterhin sitzen meiner Meinung nach die meisten Dau´s vor Xp Systemen die nunmal die sogenannten *.exe Trojaner stumpf anklicken, und nunmal nicht vor Linux oder mac Systemen.
 
@aniS: iDefense, eEye, SecurityFocus, Secunia, RHKB... Lesen... bekannte Lücken... und davon sind exakt 0 offen, denn Sicherheitslücken werden innerhalb von Tagen oder schwere Lücken innerhalb von Stunden geschlossen. Wichtiger aber ist, sie werden geschlossen. Wenn du es für Ironie hälst lachst du hunderte Experten aus die im Morgenstuhl mehr Fachwissen haben als dieses ganze Board zusammen. Zumal diverse dieser Anbieter auch Kopfgelder auf Lücken aussetzen wo sich der arme Hacker noch ein Nebenverdienst von bis zu 10.000 USD verdienen kann... pro Lücke. @bbrickwedde: Natürlich tauchen Sicherheitslücken auf... aber sie werden geschlossen. Und das keine Sau sich dafür interessiert ist schlicht we falsch. Die bedeutensten Systeme der Welt, online verfügbare Server, laufen überwiegend mit Unix, BSD, Linux... diese Systeme stehen jeden Tag unter Angriff. Indes sei dir gesagt, das die Zahl der gefundenen Fehler gar nicht mal kleiner ist... teilweise sogar höher... und das liegt an immer wiederkehrenden Audits die seit Jahrzehnten öffentlich eingesetzt werden um diese Systeme zu verbessern. Und noch ein Hinweis... die meisten der 'bösen' Buben die Lücken suchen interessieren sich einen DReck für Microsoft, Linux oder Apple... diese Leute arbeiten frei von Vorurteilen und streben einzig nach Erfolg. In Windows Lücken finden ist weder Herausforderung noch sonderlich erwähnenswert. Die Leute haben mehr davon gerade bei den anderen Systemen Fehler zu finden. BugZilla diverser Projekte ist unter anderem dein Freund. Und nochmal... es geht nicht um die Tatsache das es Lücken gibt und auch nicht einmal um die Zahl oder Schwere der Fehler... es geht seit je her einzig und alleine darum wie der Hersteller mit den Lücken umgeht, und da bietet Microsoft seit je her eine mieserable Leistung wo andere ein nahezu perfektes und lückenloses Patchmanagement vorweisen können. ODer kannst du mir erklären wie Microsoft das Milliarden für Entwicklung ausgibt nicht in der Lage ist den Patchstatus zumindest ähnlich hoch zu halten? Es geht da um 10 - 20% ungepatchte aber bekannte Lücken.
 
@ratedochmal: Aber klar, wissen wir doch ... :)
 
@ratedochmal: kannst du auch mal eine andere Platte auflegen?? Achso, du hast ja nur eine!!!
 
Hmm, 18% "marked as unpatched"
http://secunia.com/product/2719/
 
@gigi1973 & messias17: Der Beitrag ging nicht an DAUS die eh nichts von PC Systemen verstehen, ihr könnt also gehen und euch auf die nächste Konsolen News stürzen. @MNG: Das patchen des Kernels übernehmen die Firmen: http://secunia.com/product/4668/ 0 ungepatcht...
 
sehr gute Leistung von dieser Frau. MS kann dankbar sein solche Leute zu haben. Dies ist vielleicht ein weiterer Schritt in Richtung eines sicheren OS.
 
@bigoesi: Sie hat es zwar schon eindeutig drauf, aber es ist nicht zuvergessen, dass man bei dieser Methode Admin-Rechte benötigt!
 
@ messias17 und was glaubst du hat der Standard Windows User????????? MS ist so dämlich, dass jeder von Standard IMMER Admin ist!! Dann ist es ja wohl kein Problem!
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles