Security-Experten machen sich über Microsoft lustig

Sicherheit & Antivirus Eine Gruppe von Sicherheitsexperten hat sich zum so genannten Microsoft Spurned Researcher Collective (MSRC) zusammen geschlossen. Sie wollen damit gegen den Umgang von Microsoft mit externen Sicherheitsexperten protestieren. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
In diesem Fall muss ich MS verteidigen, ausführliche Details zu einer Lücke zu veröffentlichen ist verantwortungslos bis ins Letzte.
 
@shadowhawk: muss dir absolut zustimmen! noch blöder und mit solch massiver unvernuft dieser "sicherheitsexcperten" geht schon gar nicht mehr! denen sind doch die anwender völlig egal! hauptsache, man ist mit ms-bashing mal wieder populär auf newsseiten aufgetaucht. kopfschüttel... :-/ dabei ist microsoft immer noch die schnellste firma, die auf sicherheitslücken reagiert im vergleich mit anderen betriebssystemen!
 
@Flint_Ironstag: Andererseits gibts auch wieder Lücken die Jahrelang bestehen und auch bei Microsoft bekannt sind und an denen nicht gearbeitet wird. Die verdienen mit Ihrer Software so unwahrscheinlich viel Geld das es doch kein Problem sein sollte so etwas zu vermeiden.
 
@Flint_Ironstag: dann benenne doch mal die anderen firmen.
 
@shadowhawk: Der richtige Weg lautet: Hersteller informieren, genügend Zeit geben damit dieser ein Update bereitstellen kann, dann die Öffentlichkeit informieren
 
@I Luv Money: was nuetzt das?? gar nichts. es bestehen immer noch sicherheitsluecken in windows,die seit win95 vorhanden sind und sich in jedem neuen windows wieder finden. wann werden die denn gestopft?? muss allerdings zugeben,das ist ein zweischneidiges schwert.
 
@shadowhawk: Durch die detaillierte Veröffentlichung der Lücke werden Microsoft und andere Softwarehersteller aber wenigstens mehr unter Druck gesetzt, etwas zu tun, anstatt abzuwägen, wann diese Lücke wohl zum Massen-Problem werden könnte und dann mal zu gucken.
 
@langly: Durch die detaillierte Veröffentlichung wird es doch erst zum Massenproblem.
 
@jigsaw: Es wird hoechstens zum Problem das die Script Kiddies es mitbekommen. So eine Luecke ist auch schon vor der Veroeffentlichung sicher in mehr als nur einem Hacker Kreis bekannt.
 
@langly: Das Problem ist aber, die wollen sich nur auf Microsoft einschiessen , Linux Fehler werden die so sicher nicht ausplaudern weil die dann von der eigenen Community eins drauf bekommen. Das ist nicht akzeptabel.
 
@langly: Naja, es würde ja keiner etwas sagen, wenn die Lücke schon bekannt ist und aufgrund des Nichthandelns seitens Microsoft die Lücke veröffentlicht wird. Aber genau das ist ja nicht das Ziel...
 
@shadowhawk: Seh ich ebenso. Ich frag mich wieso die sich überhaupt Sicherheitsexperten schimpfen dürfen. Sie können genauso die Infos direkt an die Hacker weiterleiten und den Hersteller auslassen. Ich schließ mich da der Meinung von Microsoft an, es ist unverantwortlich und umzumutbar. @I Luv Money: ist doch in der Regel so.
 
@shadowhawk: Ja, die Menschen sind schlecht. Auch darauf muss ein Konzern mit Milliardenumsätzen rechnen.
 
@jigsaw und so: da ich mir nicht vorstellen kann, dass nur die externen Sicherheitsexperten von Microsoft die Lücken finden, denke ich, dass die fehler auch auf andere weise öffentlicht werden, nur dann dauert es dem entsprechend lange, bis die hersteller darauf reagieren. wenn ihnen irgendjemand sagt: "da ist ne lücke, die kennt aber keiner" wird die reaktionszeit der hersteller deutlich länger sein als wenn sie unter zugzwang sind. glaubt ihr das echt, dass microsoft kontrollieren kann, welche lücken ausgenutzt werden und das dann auch noch zu gibt? - ja, da ist eine lücke, aber erst 2.000.000 sind davon betroffen ... bei 2.500.000 hätten wir was gesagt, wirklich... - oder glaubt ihr, dass die lücken erst genutzt werden, wenn microsoft die existenz bestätigt? - so da ist eine lücke, das können wir bestätigen , jetzt dürft ihr hacken... - und so werden die firmen auch unter zugzwang gesetzt direkt was zu tun
 
@langly: Fehlerbehebung unter völligem Zeitdruck ist absoluter Murks. Dann muss hinterher drei mal nach gebessert werden als wenn man vorher ausreichend Zeit hätte. In großen Unternehmen muss ja auch evtl. noch Zeit sein, den Patch vor dem Roll Out zu testen.
 
@satyris: die zeit zu arbeiten wird für die entwickler die gleiche sein, weil sie erst tätig werden, wenn not am mann ist

p.s. gerade die großen Softwarehersteller sollten eigentlich genug Geld für gescheite Programmierer haben, die auch unter Druck gescheit arbeiten können ;-)
 
@langly: Man merkt dass du noch nie ernsthaft programmiert hast. Auch Softwareentwickler sind nur Menschen, und unter Druck unterlaufen jedem schneller Fehler als mit etwas Puffer in der Hinterhand. Und die Admins für den Rollout sind auch nur Menschen, die unter Zeitdruck Fehler machen können... Und glaube nicht, dass Microsoft nicht aktiv wird, wenn die eine Sicherheitslücke gemeldet bekommen. Natürlich haben die Entwickler dann mehr Zeit.
 
@shadowhawk: leider steht in der meldung eine pure lüge...übernommen wohl direkt von der ms pressestelle...über die hier angesprochene lücke wurde ms nämlich schon mehrmals ausführlich informiert...weil ms auf seine meldungen überhaupt nicht reagiert hatte, stellte der finder dieser lücke ms dann ein ultimatum,um zu antworten...dieses lies ms dann aber wieder verstreichen ohne zu reagierten...so sah er sich dann gezwungen diese lücke zu veröffentlichen, um somit ms endlich zu einer reaktion zu zwingen...die reaktion von ms bisher sind aber leider nur die wieder mit der obigen meldung verbreiteten lügen...muß wohl konzernpolitik sein...angesichts der gefährlichkeit dieser lücke, die bis heute nicht gestopft ist, absoluter wahnsinn(das angebotene fixit ist nicht mehr als ein witz)...
 
@Rulf: Ist doch unerheblich... Es gehört sich einfach nicht, dass man solche Aktionen startet und von Zwang kann auch keine Rede sein. Siehe hierzu re:15, wo ich etwas detailierter auf die Situation und die möglichen Folgen eingegangen bin. Zum Thema Bugfix: Rom ist auch nicht an einem Tag erbaut worden und Menschen machen nunmal Fehler (Errare humanum est).
 
@shadowhawk: So ist es.. So gern man so manches Mal jemandem ein Kuckucksei in's Nest legen will, so sollte man gerade im konkreten Fall Microsoft daran denken, was dadurch passiert, wenn man diese Infos kriminellen Kreisen zukommen lässt. Banken, Versicherungen, Behörden, Unternehmen - Fast überall wird Windows eingesetzt. Eine Lücke bekanntwerden zu lassen kann daher nicht nur dazu führen, dass Microsoft in Bedrängnis kommt, sondern auch dazu, dass hochsensible, teils personenbezogene Daten in falsche Hände geraten, wenn der Malwareautor diese Daten über die Ausnutzung der Sicherheitslücke auslesen kann. Gerade darüber und die daraus resultierenden Folgen für alle Betroffenen ist man sich offensichtlich nicht bewusst beim "freien MSRC" oder man nimmt dies wissentlich in Kauf (was die Situation noch weitaus verschlimmern würde).
 
@shadowhawk: Seriöse Sicherheitsexperten geben den Herstellern eine Frist. Zum Beispiel CERT/CC und DFN-CERT veröffentlichen 45 Tagen nachdem der Hersteller informiert wurde. Dieses Vorgehen wird auch von den Datenschutzbeauftragen befürwortet. Wer einen Exploit veröffentlicht ohne den Hersteller frühzeitig vorher zu informieren, der handelt auch nicht anders als Hacker, die Anleitungen zum Einbruch in einen Rechner oder Viren-Kits veröffentlichen.
 
@Timurlenk: Gegen eine solche Gefährdung wird man wohl gerichtlich vorgehen können? Also ich mach mir da nicht allzu große Sorgen ;)
 
@shadowhawk: Finde ich auch, das ist riesen Mist, die sollten die Infos erstmal an MS weiterleiten, so ist keinem Geholfen. Man kann ja dann auch soagen: Wir geben euch nen Monat, dann geht die Info raus. Mit Druck arbeitet MS dann vllt auch etwas schneller^^
 
@shadowhawk: Man sieht es ja an der Lücke die MS nach über 15 Jahren letztens endlich geschlossen hat, wie lange sich der Hersteller Zeit nimmt wenn er keinen öffentlichen Druck bekommt. Veröffentlichen dann gibt´s raz faz nen Patch, sieht man ja an Adobe dass das auch binnen 24 Stunden möglich ist.
 
@Antimon: Gerade Adobe ist ja für das schnelle Beheben seiner Lücken bekannt...
 
MSRC macht sich hier wohl lächerlich. Die sollten mal weniger trinken und sich nicht son Rotz einfallen lassen.
 
@Odi waN: Wenn sie aber trotzdem weitermachen und nichts auf dein Geschreibsel geben? Was wäre denn die Lösung? Ganz einfach, Microsoft muss schneller reagieren.
 
@Sesamstrassentier: der google mensch hat ms 5 tage zeit gegeben, ja klar ist wohl genug zeit was?. :)
 
@Odi waN: Ebenfalls meine Meinung! Diese Freaks sind eher die Deppen, die solch ein Scheiß gründen und propagieren. Ist bestimmt irgend ein Haufen pubertierender Teenes die Aufmerksamkeit wollen und Portale wie Winfuture hilft denen auch noch bekannt zu werden. Aus dem Artikel geht NULL hervor wozu die diese Gruppe gegründet haben? Also welcher Sinn steckt den nun dahinter? Einfach nur Deppen.
 
Leute, die so etwas machen, kann ich nicht für voll nehmen. Die Gründer von MSRC sind offensichtlich Versager, die nun auf diese Art und Weise auf sich aufmerksam machen möchten. Wer fachlich nichts drauf hat, der versucht andere ins Lächerliche zu ziehen. Alter Trick von Blindgängern und Versagern.
 
@eolomea: ABer sehr gefährliche Vollidioten. Microsoft steht im Zugzwang.
 
@eolomea: vollidioten die fachlich nichts drauf haben würde ich nicht sagen, immerhin finden die fehler die microsoft übersieht.
 
Ich habe Vollidioten in Blindgänger und Versager umgetauscht. Das ist zutreffender.
 
@OSLin: da wundert es doch, daß ms mit seiner vollen kontrolle über den quellcode solche fehler nicht selber findet...das wiederum legt die vermutung nahe, manche dieser fehler wären abtsichlich eingebaut...nach der art und weise, wie ms den melder dieser letzten lücke(in der hilfe) behandelt hatte, verstärkt sich diese vermutung nur noch...aber sicherheit garantiert von der nsa(damals bei vista) sollte auch schon alles sagen...wer's nicht glaubt, soll selber googlen...
 
@Rulf: Es gibt keine fehlerfreien Softwareprodukte. Nirgends.
 
@Timurlenk: genau dieses hab ich auch nicht behauptet...nur hat microsoft als der bs-hersteller doch eine gewisse verantwortung gegenüber seinen kunden und aufgrund seiner infrastructur und traumhaften profite sicher auch die möglichkeit diese wahrzunehmen...wenn man aber von geradezu haarstreubenden lücken ließt, die dem konzern tlw schon jahre bekannt sind, so kann man das mit gut ding will weille haben beim besten willen nicht mehr erklären...vor jahren war mal ein fall, in dem ein hobbyprogrammierer so eine ms etliche jahre bekannte lücke ohne kenntnis des quellcodes innerhalb von stunden (provisorisch)gefixt hat...erst danach fühlte sich ms wohl bemüßigt, selber etwas zu diesem fall zu tun(es dauerte dann noch zwei patch-day bis zum update, glaub ich)...und dieser fall ist leider kein einzelfall
 
Naja das hat Vor- und Nachteile. Wenn Sie den Hersteller informieren und der nicht reagiert heisst das noch lange nicht das nicht auch irgendwelche Hacker von der Luecke wissen und sie schon ausnutzen. Deswegen vertreten einige Personen die Ansicht lieber gleich die Luecke public zu machen, dann weiss jeder Bescheid und jeder hat die Wahl die Software weiter zu nutzen oder eben nicht (solange bis ein Patch bereit steht). Wenn nur MS das weiss und 3 Monate braucht bis ein Patch bereit steht und du erst informiert wirst wenn der Patch auch verfuegbar ist, dann warst du 3 Monate lang ungeschuetzt und hast es nicht einmal gewusst.
 
@Falcon: zeig mir mal einen Otto Normal User der sich über die eventuell möglichen Sicherheitsrisiken der Software, die er verwendet, informiert...
 
Sicherheitslücken zu veröffentlichen ist halt ein zweischneidiges Schwert. Es kann Aufmerksamkeit verschaffen und so den Betreiber dazu "zwingen" etwas Nachzubessern, ruft aber auch immer schnell Nachahmer auf den Plan die dann eine Lücke ausnutzen.
 
Einige Sicherheitslücken lassen sich eben nicht mal kurz schließen, da bedarf es einer gründlichen Analyse und überlegten Lösungsansätzen. Durch so ein Vorgehen gefährden die nicht nur die Anwender, sondern auch die sachgerechte und korrekte Lösung des Problems.
 
Mir scheint die wollen nur in die Presse kommen, den Schutz der Nutzer und Anwender scheint den völlig egal zu sein. Man sollte auch bedenken, nicht alle Lücken kann man in 2 Stunden beheben , wenn ein MS Patch mal selbst wieder eine böse Nebenwirkung hat sind es doch diesselben Spinner die dann am lautesten Rumjammern die eine schnelle Lösung von MS erzwingen wollen.
 
Und solche Leute schimpfen sich tatsächlich "Sicherheitsexperten"? Wie wäre es stattdessen mal mit einer Begründung, warum sie diese Art des Umgangs mit Lücken für sinnvoll halten? Ich sehe darin nämlich ebenfalls eine zusätzliche und völlig überflüssige Gefährdung der Nutzer.
 
Wenn die jeweiligen Firmen dafür bekannt wären diese Sicherheitslücken zu ignorieren, könnte ich so ein Vorgehen ja noch im Ansatz nachvollziehen.
Aber der oben angegebene Weg ist einfach nur erbärmlich und traurig. Und sowas darf sich dann "Sicherheitsexperte" nennen? Arme Welt ^^
 
Damit muss Microsoft umgehen, denn verbieten kann man es ja nicht. Das ist ein Risiko wenn man ein Betriebsytem programmiert. Es gibt Gute und Böse Menschen, Microsoft ist auch nicht immer gut. Microsoft gibt jährlich zweifelhafte Studien in Auftrag um andere hinterlistig zu schädigen und um sich dadurch in ein besseres Licht zu rücken. Ich hab keinerlei Mitleid und dem Gejammer sollten schnellst möglich Taten folgen. Wenn sie dazu nicht schnellst möglich fähig sind, müssen sie eben ihr gesamtes Konzept umstellen um schneller reagieren zu können. Darauf hoffen das sowas nicht mehr passiert, ist sehr naiv. Microsoft hat viele Gegner und vieles ist nur das Echo ihres eigenen Verhaltens.
 
@Sesamstrassentier: Ähm, du hast aber schon verstanden dass sie Lücken offenlegen OHNE den Softwareanbieter zu informieren, oder? Das heißt dass Microsoft und andere Hersteller überhaupt nicht die Gelegenheit haben vorab zu reagieren. Das macht die Sache ziemlich verwerflich wie ich finde. Zumal man ja weiß dass die bösen Viren- und Malwareprogrammierer nach Infos über Windowslücken lechzen und oft schon Stunden nach bekanntwerden entsprechende Angriffssoftware parat haben.
 
@DennisMoore: Ähm, du hast aber schon gemerkt das ich von Guten und Bösen Menschen gesprochen habe, oder? Natürlich ist das verwerftlich, aber Heulen ist nicht die Lösung des Problems.
 
Laut shadowhawk und anderen winfuture Experten dürfte mit detaillierten Fehlermeldungen bei der Open Source Software, diese nur noch aus Exploits, 0Day und sonstigen Gedöns bestehen. Bei solchen Vorgehen gehören immer zwei dazu, deswegen verstehe ich diese einseitige Schuldzuweisungen nicht.
 
Kann ich jetzt nicht wirklich nachvollziehen, warum diese Aktion Microsoft ins lächerliche ziehen sollte.
 
@awaiK: jop.. die ziehen sich nur selbst ins lächerliche
 
@awaiK: Für mich macht sie eher die Urheber dieser Aktion lächerlich.
 
So schlecht muss es nicht sein, da 1) Microsoft dann schneller patcht (was hoffentlich nicht auf die Qualität geht) 2) Microsoft von vornherein auf sichere Programmierung achtet 3) Die Anwender/Administratoren für das Thema Sicherheit sensibilisiert werden, was die Entscheidung für oder gegen ein Betriebssystem beeinflusst.
 
@zivilist: Microsoft achtet mehr als viele andere auf sichere Programmierung. Sie haben dafür den "Security Development Lifecycle" entwickelt, nach dem die Software erstellt wird. Und schneller patchen heißt nicht unbedingt was gutes, da zugunsten der Geschwindigkeit möglicherweise die Testzeiten gekürzt werden. Oh, und die normalen Anwender werden dadurch sicherlich nicht sensibilisiert, weil die das gar nicht erst erfahren wenn sie auf BILD.DE und anderen tollen Seiten surfen.
 
@zivilist: sichere programmierung? man kann nicht alle bugs und fehler finden.. würde man so ausgiebig testen würden wir uns das betriebssystem nicht mehr leisten können..
 
@zivilist: Microsoft hat schon vor vielen Jahren eingeführt, dass nur Zero-Warning-Code released wird, also Code bei dem der Compiler weder Fehler noch Warnungen auswirft (bei einem hohen Warn-Level). Das schützt natürlich nicht vor logischen Fehlern und verketteten Fehlern in Zusammenarbeit mit anderer Software. Es gibt keinen fehlerfreien Code. jeder ernsthafte Programmierer wird Dir das bestätigen.
 
@all: Etwas sichere Programmierung geht bestimmt. Gegen kleinere Fehler hat ja niemand was, wenn diese jedoch so häufig wie bei Microsoft als kritisch eingestuft werden ist das nicht okay.
 
@zivilist: jedes bs ist gleich unsicher.. und ms is recht schnell mit fehlerbeseitigung.. genauso wie linux und dessen distris.. finde das macos bzw. apple da weit hinterher sind
 
Was ist besser? Die Finder eine Lücke publizieren es schnell und ausführlich oder warten bis MS einen Patch rausbringt (dauert selten auch schon mal Jahre). Wenn ein Experte eine Lücke finden konnte, kann das auch ein "böser Hacker" Monate vor ihm gemacht haben und längst ausnutzen. Lieber vollständige Ehrlichkeit....
 
@yagee: Die Finder einer Lücke sollten MS kontaktieren und dann den Rand halten bis es einen Patch gibt. Hinterher können sie dann publizieren was sie wollen. Der oben beschriebene Weg ist IMHO allein schon deshalb verkehrt weil sie offensichtlich Details zu Lücken posten ohne den Hersteller überhaupt zu informieren. Weder vorab noch hinterher.
 
@yagee: absolut richtig.
 
@yagee:
Wie wäre es mit folgendem Ablauf:
Lücke entdecken, Anbieter informieren, Anbieter etwas Zeit lassen die Lücke zu fixen, an die Öffentlichkeit gehen.
 
@ichmagcomputer: genau das wollte der finder...nur ms nicht...
 
@Rulf:
Das ist Bullshit!
Vor kurzem kam die News das der "Finder" sofort an die Öffentlichkeit gegangen ist und erst danach MS informiert hat.
 
@ichmagcomputer: Der Finder (ich nehme an du beziehst dich auf Ormandy), hatte bei der erste Lücke über ein halbes Jahr den Rand gehalten. Über ein halbes Jahr hatte MS nichts gegen die von ihm endeckte Lücke gemacht, dann hat er sie halt veröffentlicht. Bei der letzten Lücke waren es 5 Tage, aber auch nur weil er von MS keine Reaktion, nicht mal ein Danke zu hören bekam. Er wollte MS wieder ein paar Monate Zeit geben, er wollte nur innerhalb von 5 Tagen eine Bestätigung von MS, diese bekam er nicht und MS dann die Rechnung für ihre Arroganz. Und scheinbar ist Ormandy nicht der einzige Fall wo so etwas passiert ist. Nur wegen dieser einen Person schliessen sich nicht ein Haufen Sicherheitsexperten zusammen...
 
@Wollknäuel Sockenbar:
Hast du nen Link dazu, dass ich das nachlesen kann?
 
@ichmagcomputer: http://www.computerworld.com/s/article/9178084/Hackers_exploit_Windows_XP_zero_day_Microsoft_confirms
 
@Wollknäuel Sockenbar: Ernsthafte Sicherheitsexperten schließen sich beispielsweise in CERT und den zugehörigen Verbänden zusammen. Siehe http://de.wikipedia.org/wiki/CERT. Sie bilden keine Hackergruppen.
 
@ichmagcomputer: Sehe ich genau so, Anbieter einmalig informieren, vier Wochen Zeit geben und dann die Lücke bekannt machen. Setzt man keine Frist, schieben die das erst mal in eine to-do-Pipeline und irgendwann kümmert sich mal jemand darum.
 
@yagee: Man kann der Softwarefirma trotzdem erstmal etwas Zeit geben und erst dann, wenn nicht reagiert wird, die Sache öffentlich machen. Natürlich kann ein Hacker bereits auf die Lücke gestoßen sein, das spielt aber keine Rolle. Denn bei einer Veröffentlichung von Details, ist es gewiss, dass viele Leute die Lücke ausnutzen werden.
 
@yagee: Laut IT-Sicherheitsbericht des Wirtschaftsministriums von 2010 werden Lücken zunehmend innerhalb eines Tages nach Veröffentlichung ausgenutzt. Das bedeutet, dass nach dem Publizieren einer Lücke vermutlich sofort entsprechende Schadsoftware in Umlauf kommt. Selbst im Idealfall könnte kein Hersteller so schnell Patche in Umlauf bringen. Der "Sicherheitsexperte" ist daher mit seiner spontanen Veröffentlichung der ursächliche Grund für den Befall, auch wenn er es nicht selber gemacht hat. Da kann man sich wünschen, dass sich alle Geschädigten mit Nachdruck (und 5 geballten Fingern) bei ihm bedanken. Daher sollte man dem Hersteller die Möglichkeit geben einen Patch zu entwickeln bevor man die Lücke veröffentlicht. Die meisten Sicherheitsfirmen warten mindestens 30 oder 45 Tage.
 
Denke dem Club sollte ich beitreten, hört sich nach Spaß an. Endlich mal normale Leute, nicht so wie hier.
 
@BeveStallmer:
So findest du aber auch keine Freunde :/
 
@BeveStallmer: ENDLICH NORMALE LEUTE. Findet man sonst auch nur aufm Ballermann.
 
@BeveStallmer: Du bezeichnest Leute welche anderen Schaden zufügen wollen als normal. Ich bin froh dass ich sowie die meisten anderen Menschen nicht so ein verkorktes Weltbild haben.
 
@Gärtner John Neko: ein -verkorktes- weltbild haben nur weintrinker ^^
 
... nicht nur Sicherheitsexperten
 
An für sich begrüße ich jede veröffentlichte Schwachstelle die entdeckt wird und halte das auch für sinnvoll so vorzugehen, nur sollte das bitte bei jedem System gemacht werden egal ob Unix, Windows oder Mac und zweitens MUSS der Hersteller zwingend informiert werden. Alles andere ist Schwachsinn und zeigt dann eigentlich nur das man Hersteller X schaden will.
 
@TuxIsGreat: Wenn man das ganze öffentlich macht, dann ist doch automatisch der Hersteller informiert. Ist ja der Sinn von Öffentlichkeit. Ob MS das dann auch beachtet ist die andere Frage ist ja ähnlich wie mit offenen Briefen (das ding mit der Öffentlichkeit) - würde alles insgeheim ablaufen, dann gibt es bstimmt jemanden der die lücke auch kennt und MS denkt sich, das ist ja nicht öffentlich da machen wir erst mal die 'einfachen' sachen
 
wenn ms sachen vertreiben würde die wirklich sicher wären und nicht erst immer die user tester spielen müssen, würde soetwas garnicht erst zu tage kommen. bevor ms überhaupt mal was richtig fertig macht wursteln die doch lieber mal eben was neues. also sollte es doch so sein, erst mal vernünftige software von ms und schon sollte es ja ruhe geben. aber das klappt ja bei ms noch nie.
 
Sind das Hohlköpfe ... endlich spricht man über sie ...!
 
jeder zieht über über diese gruppe die allen grund dazu haben sich über microsoft lustig zu machen. tavis ormandy hatte die lücke bereits im sommer 2009 an ms weitergeleitet http://winfuture.de/news,52960.html. juni 2010 es gibt immer noch keinen patch seitens microsoft http://winfuture.de/news,56046.html. die selbsternannten experten und hellseher von winfuture sollten lieber ihr gedächtniss auffrischen als das arme microsoft mit leib und seele zu schützen.
 
@OSLin: Das sind verschiedene Lücken. Du solltest die ganzen Artikel lesen.
 
@Timurlenk: wenn du auf den namen guckst der die lücken gefunden und an ms weitergegeben hat dann verstehst hoffentlich du was ich meine. hier geht es nicht um ormandy sondern um das prinzip, ms macht solange nichts ehe man sie nicht in den a... tritt. soll microsoft sich doch selber um seinen löchrigen käse kümmern anstatt "ist die massive Kritik des Softwarekonzerns ..... " zu üben. hier sieht das keiner, sind ja 80% der poster blind und gucken nur ob einer schon plus oder minus hat.
 
So kann man natürlich auch die Hersteller von Software dazu ermutigen der Sicherheit mehr aufmerksamkeit zu schenken. :)
 
Naja. Wenigstens ist Windows recht gut vor dem Ausnutzen von Lücken gesichert. UAC, DEP, ASLR und so weiter helfen ganz gut.
 
@Kirill: Wenns bei allem helfen würde, wärs ja keine Lücke ;)
 
@Kirill: ROP gegen DEP & Co: http://heise.de/-958806
 
lol, diese psydo sicherheit?
 
Auch wenn ich den überwiegenden Reaktionen nach auf weiter Flur ziemlich alleine da zu stehen scheine, muss ich sagen, dass Microsoft gar keinen Grund hat sich darüber auf zu regen. Schauen wir uns mal einen von vielen aber kleinen Konkurenten an: Die vielen Linux Derivate. Hier ist es gang und gäbe Sicherheitslücken zu veröffentlichen, und zwar sofort und für jeden einsehbar. Gut, hier sind ungleich mehr dran beteiligt und können in einfachen Fällen den Code schnell anpassen und dann kommt ein Zeitnahes update raus. Aber es wird nicht anders vorgegangen als der MSRC das jetzt auch mit windows macht. Und machen wir uns nichts vor, es gibt auch in Linuxderivaten und vor allem unter Linux laufende Programme, die selbst auch schon seit Jahren ungefixte Lücken haben. Wer will und das wissen hat kann über Pidgin einen Rechner übernehemen (in dem Fall mit zu tun des attackierten, aber da hilft social engineering, ist ja ne chat software)
So, und jetzt her mit den minus - - -
 
Hier wird ja rumgejammert ohne auch nur einen funken Ahnung davon zu haben.
Wer sich die Full Disclosures von MSRC anschaut wird sehen das in jedem bereits veröffentlichtem Vulnerability report auch ein Workaround angeboten wird.
Mir ist es persönlich lieber diese Workarounds sofort verwenden zu können sowie die POCs in unser IDS einzupflegen als nicht über ein Sicherheitsloch informiert zu werden. Wer kann mir denn garantieren das die beschriebene Lücke nicht zuvor bereits von kriminellen gefunden und verwendet wird? Unsere innerbetrieblichen Reaktionszeiten zu möglichen Bedrohungen sind somit nicht von MS abhängig und wir können sofort mögliche Schritte einleiten. Aus selbigen Grund wird man z.b. auch Kunde von Dienstleistern wie Core Security, diese geben ihre gefunden Lücken zuerst an ihre Kunden und ihre Produkte weiter und erst nach einer Ablaufzeit von 2 Wochen an den jeweiligen Hersetller.
Wer also von Full/None Disclosure keine Ahnung hat, einfach mal die Fresse halten!
 
@T-One: Danke für deine weisen Worte (+) von mir!
 
Mein Pinguin tut gerade ganz fies Grinsen und will mit stinkendem Fisch gefüttert werden. :-))
 
@Fusselbär: bin auch mit meinem pinguin unterwegs, drum nehm ich mal dein eines minus wieder weg... aber linux user sind hier leider net gern gesehen... dazu habe ich aber in [23] schon was geschrieben... Ich persönlich hab nichts gegen windows, nutze es ja selbst zum spielen, aber mittlerweile nur noch dazu und auch nur wenn wine net will... wie gesagt, ich weiß auch linux hat seine sicherheitslücken und diese werden IMMER öffentlich gemacht...
 
@RuudschMaHinda: Mit Windows offline spielen und für das Internet was anständiges, so habe ich die Kisten schön aus dem Windowsviren-Schussfeld und kann trotzdem von der riesigen Schwemme an 10 Euro Windows Spielen profitieren. Einige Spiele gibt es ja auch nativ für Linux & Co, auch OpenSource Spiele, für die braucht es dann auch kein Windows. Von Wine bin ich schon längst wieder abgekommen. Den Spieleherstellern ist ja inzwischen überhaupt nicht mehr zu trauen, die tun sich ja ganz besonders hervor, rotzfrech irgendwelche Schweynereien klammheimlich unterzuschieben. Schweynereien will ich aber ganz bestimmt nicht auf meinen sauberen Systemen. Wenn, dann r0tzen die nur das Windows voll und das nehme ich zum offline spielen.
 
@RuudschMaHinda: "drum nehm ich mal dein eines minus wieder weg... aber linux user sind hier leider net gern gesehen..." __ Es sind einige Linux-User hier und ich finde nicht, dass diese ungern gesehen sind (zumind. von mir). _____ Es wird nur ungern gesehen (bzw. ist es zum Kotzen), wenn manch ein Linux-User zu jeder (MS-)News seine Gebetsmühlen auspackt und mit dem immer gleichen Geleier anfängt. ___ Sowas nervt einfach nur und wird dementsprechend mit - abgestraft. (Fusselbär ist hier ganz vorne mit dabei) _____ P.S. @RuudschMaHinda: Er hat manchmal Recht, er hat manchmal Unrecht, er kann seine Meinung äußern...., ABER größtenteils ist es nur Getrolle, Hauptsache wieder ein Spruch gegen MS und deren Benutzer. Kennst du Tinitus? Ja, so nervtötent sind die ewigen Wiederholungen vom ihm.
 
@RuudschMaHinda: Ja ja, Fusselbär kriegt bestimmt nur Minuse, weil er Linux-User ist und auf keinen Fall deswegen, weil er nen blöden Spruch gerissen hat. Ein Migrant, der eine Straftat begangen hat, wird sicherlich auch nur verhaftet, weil er Ausländer ist...
 
auch linux hat große schwachstellen...welches system ist dabei egal! ob nun mac, linux oder windows... jedes system hat seine schwachstellen. das es weniger vieren für linux und mac gibt liegt lediglich daran das nur wenige diese systeme nutzen im homebereich.
 
@MxH: Der Homebereich ist aber nicht alles, bei den Servern sind Linux Systeme in der Überzahl. Gerade Server wären attraktiv für Schadsoftware Verbreitung. Da aber Linux bislang nicht als eine solche Virenschleuder angesehen werden muss, wie Windows, ist die behauptete "Linux-Wenignutzung" kein Argument. Wahrscheinlich wird einfach von den Linux Benutzern besser auf das aktuell halten aller Software geachtet, die fortschrittliche Paketverwaltung macht es bequem für die Linux Benutzer. Auch sind Linux Benutzer nicht verleitet von irgendwelchen dubiosen Webseiten irgendwas wild zu installieren, während das wahllose installieren jeder dahergelaufenen EXE-Datei bei Windows Nutzern völlig im Rahmen der üblichen Standardbenutzung liegt.
 
Ich finde es ist wichtig die Lücken öffentlich zu machen und so muss dann ein Hersteller reagieren. Allerdings nicht weil man einen unliebsamen Konzern ins lächerliche ziehen will, sondern um besser mit den Gefahren umgehen zu können.
 
nicht nur die Sicherheitsexperten...
 
ich finde ihr vorgehen richtig..microsoft hat als hersteller darauf zu achten das keine lücken enstehen... würde man sich genügend entwickliungszeit geben, wäre auch windows 7 nicht so unsicher. und ein konzern wie microsoft hat sofort zu reagieren und sicherheitsrelevante lücken sofort zu schliessen. das geht aber nur mit druck..somit ist ihr handeln richtig.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles