Neue Windows-"Lücke": Microsoft sieht kein Risiko

Microsoft Microsoft hat die Erkenntnisse einer israelischen Forschergruppe in Frage gestellt, die kürzlich ein Dokument veröffentlicht hatte, das belegen soll, dass der in Windows enthaltene Zufallszahlengenerator ein mögliches Sicherheitsrisiko darstellt. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
It's not a bug, it's a feature.
 
Zitat : "Außerdem sei die Zahl der Anwender mit Administratorrechten zu minimieren," ... Genau aus dem Grund sollte Microsoft im Vista SP1 auch die Möglichkeit unterbinden das der Standardnutzer die UAC ausschalten darf. Nur auf diesem Wege erreicht man das sich die Anwender an neue Sicherheitsrichtlinien gewöhnen.
 
@~LN~: schön, und was bringt das dem user, wenn adobe indesign cs3 mit eingeschaltetem uac kein deutsch kann? nix, also schaltet man uac aus und plötzlich gehts...
 
Das ist wohl kaum ein MS Problem.
 
@~LN~: Die sollten mal bei den eigenen Mitarbeitern anfangen. Sind meist alle als Admin unterwegs....
 
@~LN~: Habe die UAC auch sehr lange angelassen, da ich gedacht habe, da gewöhnt man sich schon dran das diese Abfrage jedesmal kommt. Aber seit ein paar Monaten habe ich Sie ausgeschalten da es mich einfach nur noch gestört und genervt hat. Konnte mich mit der UAC nicht anfreunden.
 
@~LN~: ob MS schuld hat oder nicht ist eigentlich egal. wenn es nicht funktioniert ist es nicht zu gebrauchen -> also ist man gezwungen die UAC auszuschalten. usuability kommt halt vor UAC.
 
@~LN~: ... ich habe nichts gegen neue Sicherheitsrichtlinien - aber ich will selbst bestimmen, ob ich sie auch wirklich brauche ...
 
@~LN~: Der Standardbenutzer in Vista kann die UAC NICHT ausschalten. Nur ein Admin kann das, oder ein Benutzer der in der Gruppe der Administratoren ist.
 
@deafnut: Ich kann schon verstehen, wenn dich die UAC nervt, aber sind wir mal ehrlich, als Normaluser kommt oder sollte man mit dieser so gut wie nie in Kontakt kommen. Nur Leute, die wirklich viel installieren, oder Programme nutzen, die noch nicht auf Vista abgestimmt sind bekommen die Anzeige. Und gerade für diese sollte es doch wichitg sein, zu erkenne wo "unangepasste Software" ihre Daten bunkert oder Adminrechte benötigt. Ironischerweise wird die UAC gerade in diesem Falle abgeschaltet, statt den Softwareentwicklern zu schreiben, sich endlich um eine adminfreie Lösung des Problems zu bemühen.
 
@~LN~: Ich habe UAC nach wie vor an, obwohl ich kein Anfänger bin. Was soll es auch schaden? Ich kann ja bei beliebigen Ordnern Vollzugriff für mich als normalen User einstellen. Dann kommt da keine nervende Abfrage mehr. Ich kann damit leben.
 
An die Leute die bei jeder sicherheitsrelevanten Interaktion gleich ihre Beruhigungstropfen brauchen , schaltet doch einfach den AdministratorAccount an (ausser im Vista Basic) und arbeitet darauf, da stört euch keiner und die nächste Malware fühlt sich auch wohler.
 
@~LN~: du vergisst wohl, dass nicht jeder hier ein DAU ist. ich fahre sehr gut mit meinem administrator account.
 
Ich finde es immer wieder interessant, wie Angreifer solche Lücken überhaupt ausfindig machen. Verständlich ist ja, dass man mit eingebrachten Dateien (z.B. jpeg), oder durch einen Speicherüberlauf, Angriffe ausführen kann. Aber wer kommt den auf den Gedanken, den Zufallsgenerator auf Schwachstellen zu überprüfen. - In jedem Betriebssystem gibt es doch eine Art Zufallsgenerator, - wären dann alle dies gefährdet, oder wieder mal nur Windows ?
 
@KamuiS: Ich denke von den "bösen" Leuten (und natürlich auch von den "guten") wird jede mögliche Komponente von Windows auf solche Schwachstellen abgeklopft. Und irgendwann knallts dann halt, dauert nur etwas. IMHO ist es der Job von sogenannten "Sicherheitsdienstleistern" im Dienste ihrer Kunden Systeme so zu untersuchen das möglichst alles aufgedeckt wird was sicherheitstechnisch problematisch ist.
 
@KamuiS: tja da schliesse ich mich an, leute mit solchen ideen trennt eben die streu vom weizen.
 
Also ich kann mir nicht vorstellen, dass dies wirklich eine Lücke ist. Denn es würde meiner Ansicht nach bedeuten, dass damit die Verschlüsselungstechnologien unnütz wären...
 
Ich frage mich, wer nun inkompetenter ist: Microsoft oder diese Forschungsgruppe? Fakt ist, daß die Lücke auch ohne Adminrechte funktioniert, das ist doch der Witz an der Sache: Innerhalb eines Prozesses kann durch Abfangen einer einzigen Zufallszahl, die CryptGenRandom ausgegeben hat, der für diesen Prozess spezifische Zustand des PRNG ermittelt werden, und somit alle zukünftigen Ausgaben sowie mit vergleichsweise geringem Aufwand auch vorherige Ausgabe. Dazu muss man auch nicht mal den ganzen Prozess als korrumpiert voraussetzen (was dann ja trivial wäre), sondern nur passiv dessen Ausgaben aufnehmen (z.B. indem man ihn zu genau solchen Berechnungen veranlasst). __ Dem gegenüber steht, daß der PRNG in Windows XP vollkommen überarbeitet wurde und sogar FIPS 180-2 genügt, also wirklich nur Windows 2000 betroffen ist.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen