Windows 8: Angeblicher Zero-Day-Exploit gefunden

Ein französisches Sicherheitsunternehmen hat nach eigenen Angaben eine schwere Lücke in Windows 8 sowie dem Internet Explorer 10 gefunden. Details dazu verriet man aber nicht, was aber mit dem recht dubiosen Geschäftsmodell von Vupen Security zu tun ... mehr... Windows 8, Sicherheit, Smartscreen Windows 8, Sicherheit, Smartscreen Windows 8, Sicherheit, Smartscreen

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Solche Unternehmen halte ich für sehr unmoralisch
 
@Suchiman: Das kann man durchaus als Tatsache schreiben: Solche Firmen SIND unmoralisch.
 
@witek: Auch wieder wahr, manchmal frage ich mich ob das nicht irgendwo illegal wäre, weil wenn das einbrechen in Computer Systemen strafbar ist, wieso dann nicht diese offensichtliche beihilfe ? Die Informationen an andere aber nicht den Hersteller zu verkaufen würde ich eher als Beihilfe zu Straftaten interpretieren und eher weniger dazu dient, sich zu schützen. -> http://de.wikipedia.org/wiki/Beihilfe_(Strafrecht)
 
@Suchiman: Glaube kaum, daß eine Beschreibung für eine Tat als Beihilfe ausgelegt werden kann. Sonst könnte der ein oder andere Krimiautor auch wegen Beihilfe drankommen. So unmoralisch das auch empfunden sein mag, rechtlich dürfte da wohl nichts zu machen sein.
 
@witek: wobei "unmoralisch" noch die netteste Umschreibung wäre. Die rangieren in etwa auf der Höhe von Patenttrollen
 
@witek:
Solche Firmen zeigen nur wieder welchen Schweizerkäse einem MS wieder voreilig unter die Nase gedrückt hat. Hauptsache der Termin den man min. 1Jahr vorher schon auf den Tag festgelegt hat wird eingehalten. Hauptsache mal auf dem Markt werfen und Kohle damit verdienen!
 
@Suchiman: Vupen oder Microsoft? sind anscheinend beide unmoralische Unternehmen.
 
@lesnex: Die Frage hast du extra so Formuliert nehme ich an, ich meine natürlich Vupen, würdest du deine Meinung bezüglich Microsoft noch begründen ?
 
@Suchiman: das sind Internet-Verbrecher
 
@Suchiman: Sehe ich nicht so. Viel eher betrachte ich die Arbeit der White Heads als vergleichbar mit der Mutter Theresas. So etwas sucht seinesgleichen und sollte nicht als Standard herangezogen werden. Wieso sollte ich für meine Arbeit in diesem Gebiet kein Geld verlangen können? Stell dir vor du arbeitest z.B. für Microsoft, nur etwas indirekt ;) Ich glaube einige Exploits werden selbst von Vupen kostenlos an die Hersteller gemeldet, z.B. wenn es sich um Memory Corruption handelt, o.ä. da es oft zu riskant ist solche Methoden zu nutzen.
 
@orioon: Ich finde das völlig in Ordnung wie Google das immer macht, an fleißige Bugfinder hohe Belohnungen auszahlen, dafür entlohnt zu werden ist nichts verkehrt dran. Diese Lücke dem Hersteller aber vorzuenthalten und stattdessen an Drittherstellern zu verkaufen ist kriminell
 
@Suchiman: auf der anderen seite haben die arbeit investiert und durchaus verdient dafür asche zu sehen....diese gratis sicherheitslücken aufdecken ist halt naja genauso ungerecht.
 
@0711: siehe re:10
 
@Suchiman: ist ja nicht so dass vupen die gefundenen Informationen nicht auch an den Hersteller verkaufen würde...da muss sich dann halt der Hersteller kümmern um an die lücke zu kommen und der finder muss nicht auf das gutwill und die Einschätzung des "betroffenen" hoffen wie bei Google.
 
@0711: Mh Absatz 4 verstehe ich so, dass die Information dem Hersteller verweigert wird, eben um die Information an möglichst viele Leute bringen zu können um den Profit zu maximieren.
 
@Suchiman: Wenn es so gemeint war dann ist es falsch, denn vupen verkauft auch an die betroffenen. Ich verstehe das eher so dass die Informationen nicht für lau herausgeben wollen/einfach an den Hersteller melden sondern eben ihren eigenen preis ansetzen und wird der vom interessent nicht gezahlt gibt's nichts.
 
@0711: Gut das geht nun nicht eindeutig aus dem Text hervor.
 
Unmoralisch ist eher das MS seine Betas/RCs etc. lieber an irgendwelche "Hausfrauen" und Freizeit-Studenten etc. verteilt zum Testen die sich dann z.B hier auf Winfuture über die "wunderbare" Optik unterhalten können.
Eventuell sollte MS im Vorfeld eben den externen Experten mal ein paar € zustecken damit diese ihr System auf Herz und Nieren testen.
Aber Moment, externe Firmen wollen ja Geld und die Hausfrauen bringen Geld. Wo setzt MS wohl hier die Priorität?!
 
@tobi14: Weder Microsoft noch externe Experten können dafür garantierten, dass nicht doch noch ein Sicherheitsproblem auftritt. Selbst schon bei einem kleinen Programm mit einer Milllionen Zeilen Code könnten sich dutzende nicht absehbare konstellationen ergeben die man im vorhinein entweder nicht erahnen konnte oder einfach nur schlecht durchdacht waren. Es gibt zwar immer gängige Praktiken wie man versuchen kann eine Funktion auf Sicherheitsmängel zu prüfen, unter anderem auch mit Unit tests zum Beispiel die alle möglichen arten von Eingaben durchgehen und sichergehen, dass die Funktion wie erwartet Funktioniert, aber es kann immer wieder einer daherkommen der es besser weiß und verschiedene Methoden kombiniert um einen "exotischen" Exploit zu schaffen auf den bisher noch niemand gekommen ist. Und jetzt musst du dir noch weiter vorstellen: 1 Millionen Zeilen Code der auf unterschiedlichste art und weise gegeneinander ausgespielt werden könnte um unerwünschtes verhalten zu erzeugen, wie viele Zeilen Code hat nun Windows ? Die Anzahl der DLLs und Ausführbare Dateien die Windows mitliefert sind ansich ja schon unglaublisch unübersichtlich, die Menge von Code die hinter allem steht dürfte aber in mehrere Milliarden gehen wenn nicht noch höher.
 
Viel bla bla jetzt von dir aber du siehst doch das es extra Firmen gibt die es anscheinend eben doch besser Wissen als MS und so ihr Geld verdienen. Das war bisher bei jedem neuen System so das schon wenige Tage nach Veröffentlichung die ersten Lücken gefunden würden.

PS: scheinen ja heute viele hobby Studenten online hier zu sein :-)
 
@tobi14: Zufälligerweise bin ich Fachinformatiker für Anwendungsentwicklung, was bist du, dass du es besser zu wissen vermagst ?
 
@Suchiman: Lass ihn doch labern... in seiner Welt existiert wohl der perfekte Mensch der nie Fehler macht und die perfekte Software die nie irgendwelche Fehler hat.
 
@tobi14: So, so, und da Microsoft die Vorabversionen für jedermann zum Testen rausgibt, wird selbstverständlich auf Expertentests komplett verzichtet. Schon klar. Wahrscheinlich haben sich die "Hausfrauen" alle verfügbaren Downloads von Microsofts Server gezogen, so dass irgendwann keine mehr für die Experten da waren, was?
 
@tobi14: du solltest dich mal mit den Entwicklungsprozessen bei MS auseinandersetzen und nicht nur so einen käse schreiben wovon du offensichtlich keine Ahnung hast
 
@tobi14: Selbst wenn du Recht hast, bzgl.: "Das Microsoft natürlich ihre Gratisversion nur für Hausfrauen und Freizeit-Studenten zur Verfügung und nicht für JEDERMANN bereitstellt." Was ist daran bitte unmoralisch? Unmoralisch wäre eher, wenn sie die Lücken wissen und sie an andere Firmen weitergeben um ihre eigenen Kunden noch mehr zu schröpfen.
 
Es kommen doch durch neue Angriffsvektoren tendenziell täglich neue 0day-Attacken zum Vorschein. Ok, hier betrifft es Windows 8. Aber im Grunde ist das jetzt nichts außergewöhnliches.
 
@RobCole: Da hast Du Recht. Jedoch ist Windows 8 ja gerade frisch und wenn man bedenkt, dass MS sich jetzt nicht so viel Zeit lassen konnte und auch erhebliche Veränderungen am Kernel durchgeführt wurden, plus die WinRT-Geschichte, dann bietet Win8 jetzt gegenüber Win7 eine schöne, neue Spielwiese auf der sich die Malware-Programmierer austoben können. Gleiches gilt für WP8.
 
@doubledown: Mich verwundert es nicht, dass das Windows 8 neue Softwarelöcher hat. Eben weil man die Software nicht auf alle Angriffsvektoren prüfen kann. Entscheidend ist eher wie lange solche Lücken bestand haben und ob diese kritisch der eigenen Soft- und Netzwerkstruktur schaden.
 
"Vupen Security" - Passender währe wohl "Unsecurity"
 
Es währe ein schönes Bild wenn alle dieses Unternehmens gejagt werden.
 
@Menschenhasser: Dann noch die Firma verbieten, und alle die davon wusten in den Knast werfen. :-)
 
@Menschenhasser: wieso? "alle diese unternehmen" machen eine wichtige arbeit, dass sie daraus auch Profit schlagen wollen ist klar und natürlich, basiert ja ihr geschäftsmodell darauf sonst könnten sie diese sicherheitslücken auch nicht auf derartige weise aufdecken. Soll MS denen halt Geld für die Details geben
 
@0711: Ich hoffe das war ironie.
 
@Menschenhasser: nein, dass ein System nicht fehelrfrei sein kann ist verständlich, geht bei den eigenen tests was durch die lappen und werden andere fündig haben diese auch ein anrecht auf eine entsprechende Entlohnung. Die leben genausowenig von der Hand im mund wie jedes andere unternehmen. Ist ja nicht so dass vupen und Konsorten die Infos nicht an die "betroffenen" firmen verkaufen würde - wäre dass der fall, das wäre unmoralisch, falsch und in diesem fall würde ich dir auch zustimmen.
 
@0711: Die entlohnung ist die das man von fremden Menschen geschädigt wird. Also wenn dich das aufgeilt schön für dich mich törnt es ab. Vupen verkauft es an Leute die ausspionieren wollen nicht an Microsoft. Ich zeige dir was ich meine: 'dubiosen Geschäftsmodell von Vupen Security = Vupen sucht nämlich in Produkten von großen IT-Unternehmen wie Microsoft, Apple und Google nach den unterschiedlichsten Sicherheitslücken. Diese werden aber nicht den jeweiligen Firmen gemeldet, sondern an Regierungen und andere Unternehmen für viel Geld verkauft. '
 
@Menschenhasser: Microsoft steht es frei zu den kunden von vupen zu werden...aufgeilen tut mich daran Garnichts. Vupen hat hier arbeit investiert, wenn man sich die wenigen Details anschaut wohl auch nicht wenig arbeit.
 
@0711: Sie verkaufen nicht die Infos weiter sie werden auch Microsoft zum Kunden nehmen weil dann die Geschäftsgrundlage wegbricht. Da du Verbrecher trotzdem hier weiter verteidigst werde ich ab hier die Diskusion beenden.
 
@Menschenhasser:
Der einzige Verbrecher ist MS, System muss zum Tag X ausgeliefert also wirds auch rauss gehauen, egal wie.
Wenn es Vupen Security innerhalb von so kurzer Zeit gelinkt in ein niegelnagelneues System ein zu dringen dann hat MS sein System wie so oft eben mit zu heißen Eisen gestrickt oder wie so oft wieder alte Lücken mit geschleift. Und wenn Vupen Security wirklich davon Leben kann und ihr unternehmen auf dieser Basis betreiben kann dann Hut ab vor den Mitarbeitern. Scheinen dann jedenfalls mehr auf dem Kasten zu Haben als die MS Leute.
 
@Menschenhasser: also ich habe noch ncihts von einer erfolgreichen klage gegen diesen verein gehört....weiss ja nicht in welchem rechtssystem du lebst.
 
@tobi14: du redest Unsinn...ms hat einen der saubersten Entwicklungsprozesse in der Industrie der auch vor allem auf Sicherheit abzielt. Nur weil ein System lücken hat muss da nichts mit heisser nadel gestrickt sein, man bedenke nur mal wie lange dev preview, consumer preview und auch die rtm bereits verfügbar ist....und dass vupen sich so damit brüsten kann ohne sich lächerlich zu machen spricht dafür dass sich viele andere daran die zähne ausbeisen.
 
@0711:
man bedenkt die vielen News wo MS ein Ecke wieder ein bisschen Runder gemacht hat als in einer vorherigen Beta oder eine Farbe einer Leiste gewechselt hat. Ja die lieben öffentlichen Betas haben ja so was von ihrer Berechtigung.
 
@tobi14: ob Berechtigung oder nicht sei dahingestellt, unternehmen wie vupen haben schon lange zeit gehabt um sich auf w8 einzuschießen und nach rtm was präsentieren zu können.
 
@0711:
Richtig, und warum Kennt eine externe Firma ganz ohne Quellcodezugriff scheinbar das System besser als die Ersteller.
MS will einfach kein perfektes System anbieten, dank Onlineupdates reift das Bananaprodukt ja schön weiter beim Kunden. Anstatt es eben vorher mal wirklich durch checken zu lassen von Firmen die sich darauf spezialisiert haben.
 
@0711: Hehe, Microsoft Programmierer duschen täglich, um dreckigem Code keine Chance zu geben! Außerdem sind Sicherheitslücken in Windows keine Fehler, sondern geistiges Eigentum und Features, die zum vollen Windows Nutzungserlebnis dazugehören. *TGIF*
 
@tobi14: es gibt kein "perfektes" System und kein System in dieser Größenordnung das nur annähernd fehlerfrei oder gar lückenlos wäre (kennst du eins? nenn mir eins!). Übrigens...wie schon weiter oben gesagt scheints du keine Ahnung vom Entwicklungsprozess bei MS zu haben weil eben genau das was du da monierst "chekcen lassen von firmen die sich darauf spezialisiert haben"...genau das macht MS, MS engagiert sogar selbst bekannte größen der security Szene zum checken ihrer Systeme inklusive quellcodezugriff. Als minimalen einstieg empfehle ich dir mal diesen recht kurzen text darüber http://kurzurl.net/KKkqW ....das dort beschrieben ist inzwsichen übrigens massiv ausgeweitet worden aber deine bisherigen texte lassen sowieso nicht unbedingt auf ein tieferes verständnis von Software im allgemeinen vermuten.
 
@0711: Das Problem ist wenn Anwendungen sich nicht nach der Dokumentation verhalten und dann wenn sie vom System richtig behandelt werden Fehler produzieren, das Problem hat zb. Wine ganz oft: es verhält sich nach der Dokumentation richtig, aber die Programme erwarten die Fehler von Windows, so muss Wine die Bugs von Windows implementieren (welch Ironie...).
Kommentar abgeben Netiquette beachten!

Windows 8 Pro im Preisvergleich

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte