Windows 8.1: Google veröffentlicht ungepatchten Zero-Day-Exploit

Ein Google-Forscher hat ein Sicherheitsleck in Windows 8.1 öffentlich gemacht, das von Microsoft noch nicht geschlossen worden war. Google hatte dem Konzern zuvor 90 Tagen Zeit gegeben, um den Zero-Day-Exploit zu patchen. Jetzt verspricht Microsoft eine schnelle ... mehr... Sicherheit, Sicherheitslücken, schloss, Abus, Kette Bildquelle: John Dierckx / Flickr Sicherheit, Sicherheitslücken, schloss, Abus, Kette Sicherheit, Sicherheitslücken, schloss, Abus, Kette John Dierckx / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Google wird von "einigen Experten" kritisiert, weil MS es in 3 Monaten nicht auf die Reihe bekommt, einen Patch zu erstellen?! Welche "Experten" sollen das sein?
MS ist der größte Software-Konzern der Welt, wofür brauchen die so lange? Und komm mir ja keiner mit testen, natürlich dauert das Testen viel länger als das eigentliche Erstellen des Patches, aber doch keine 3 Monate! Ich halte es für wahrscheinlicher, dass die Arbeit an Win 8.x keine besonders hohe Priorität mehr besitzt weil alles sich auf Win 10 konzentriert, aber man sollte doch meinen, dass für Sicherheitspatches noch ein paar Entwickler bereit stehen.
 
@nicknicknick: Dann sollte Microsoft mal alle entdeckten ungepatchten Sicherheitslücken in Android, Google Chrome und andere Google Software veröffentlichen, natürlich ohne Google vor der Veröffentlichung zu informieren. Dann würde Google mit den schließen von Sicherheitslücken auch nicht mehr hinterherkommen, außerdem würden sich die Android Tablet und Smartphone Hersteller in den Weg stellen.
 
@eragon1992: Wieso "natürlich ohne ... vorher zu informieren"? Im obigen Fall wurde ja MS drei Monate vorher genau informiert.
 
@Harald.L: Ändert das IRGENDWAS? Was geht es Google an, wie lang Microsoft für den Bug braucht? Eine (wenn auch recht harmloses) Security Leak eines Konkurrenten zu veröffentlichen, halt ich für extremst unseriös.
 
@Tintifax: Ich denke mal, dass Google MacOS, Linux und Windows gleicher Maßen nutzt. Und in innerhalb eines Konzerns, kann eine Lücke mit der man sich Admin-Rechte verschaffen kann schon gewaltige Auswirkungen haben. Man hat wohl keinen anderen Weg gesehen MS Druck zu machen. Hat ja allen Anschein nach geklappt...
 
@Tintifax: Ist doch gut so. Lieber bei einer Sache, die nicht so groß ist, als bei einem schwerwiegenden Fehler! Wäre der Fehler aber schwerwiegend und microsoft tut einfach nichts gegen, dann hat doch jeder die Möglichkeit und auch jeder das Recht dazu, diesen Fehler zu veröffentlichen. Denn dann kann jeder selbst entscheiden, ob er das System weiter nutzt oder nicht. Wenn man es aber gar nicht wusste...
Die Cracker werden hingegen den Fehler schon gekannt haben. Für die ist solch eine Veröffentlichung eher unwichtig! Daher ist dieser Schritt von Google sozusagen ein Meilenstein. Beim nächsten Problem, welcher größer und schwerwiegender sein könnte, weiß Microsoft das dann und kann entsprechend schneller handeln.

Grüße

Forster
 
@eragon1992: Wie Harald.L schon schrieb wurde MS vor über 3 Monaten informiert. Davon abgesehen bezweifle ich, dass MS einen ähnlichen Aufwand betreibt wie Google um Fehler in Systemen anderer Hersteller aufzuspüren. Google bezahlt Entwickler nur um MS-Software sicherer zu machen und anstatt diese kostenlose Hilfe zu nutzen gibts Beschwerden.
 
@nicknicknick: Ah ja, und die nehmen sich einfach mal so raus, da so eine kleine Erpressungsaktion zu bringen, so nach dem Motto: "Ihr fixt diese Lücke in eurer Software bis dann und dann, sonst veröffentlichen wir die"? Wo sind wir denn bitteschön mittlerweile angekommen? Sehr feiner Zug von Google, muss man schon sagen...
 
@DON666: Du meinst also MS sollte sich ewig auf seinen Leichenbergen ausruhen können? Hast wohl 15 Jahre Security-Entwicklung verpasst, was? Dass Lücken auch unabhängig von kriminellen Crackern gefunden und ausgenutzt werden, habt ihr unbedarften Microsoft-Fanbois wohl noch nie gehört.
 
@DON666: Mich würde der Email-Verkehr mal interessieren. Auch Google möchte, dass die Lücke gefixt wird. Aber wenn dies nur unter Druck geschieht, ist das sicher nicht schön. Ob MS anders in die Gänge gekommen wäre, weiß ich auch nicht. Fakt ist aber, dass MS noch ein paar Uraltlücken offen lässt. Ich kann auch nirgends lesen, dass MS den Bug bestätigt und ein fix angekündigt hat. Das ist erst nach der Veröffentlichung passiert. Traurig ist eher, dass es so weit kommen musste. Entweder wurde es nicht ordentlich Kommuniziert oder einfach Ignoriert.
 
@blume666: Geh bitte, jetzt mal MS Hass in Ehren: Aber spätestens nach dem Windows XP Debakel, hat MS seit Windows XP SP 2 in Sachen Security sich garantiert kaum mehr etwas vorzuwerfen. Im Gegensatz zu anderen Firmen. Was, wenn irgendeine Firma bei Android z.B. so vorgehen würd? Dann hätten viele, viele Millionen User ein Problem: Der Update Mechanismus von Android ist nämlich eine Katastrophe, das heisst, alte Sicherheitslücken bleiben. Wenn nun irgendwer der Meinung ist, dass eine Android Sicherheitslücke zu lang im System ist, und diese dann veröffentlicht, ist das dann in Ordnung? Darf man so Druck auf Google aufbauen, um den konzeptionellen Irrsinn beim Android Update "zu bessern", oder nicht? Es ist schlicht und einfach nicht in Ordnung wenn man Sicherheitslücken der Konkurrenz veröffentlicht.
 
@Jas0nK: So ein Bullshit. Ich frage mich nur, was Google - die eh nicht das beste Verhältnis zu Microsoft unterhalten - mit deren Software bzw. Lücken zu tun hat. Geht die doch nen Scheißdreck an.
 
@DON666: Ah ja und du nimmst heraus, das Leute doof sterben sollen? Die Leute haben auch das Recht über Fehler usw. informiert zu werden. Und 3 Monate ist in der IT-Branche schon lang. Also hat Google, in diesem Fall, doch eigentlich alles richtig gemacht! Hat den Verantwortlichen Zeit gelassen, aber auch das Volk informiert. Wobei ich 3 Monate immer noch für zu lange halte. Hätten das ja auch schon nach einem machen können. Wenn von der anderen Seite nichts kommt!!!

Grüße

Forster
 
@Tintifax: Wirf bitte nicht Stockandroid mit den Herstellerandroids in einen Topf!

Grüße

Forster
 
@Forster007: Wenn die Lücke bis dato nicht öffentlich war, also auch noch nicht ausgenutzt wurde, sehe ich das *etwas* anders, was wohl auch aus meinen vorherigen Posts hervorgegangen sein dürfte.
 
@DON666: Das ist vollkommen egal, ob veröffentlicht oder nicht! Es ist ja nicht nur der Herr von Google so intelligent und kann diesen Fehler finden! Es gibt noch andere Kräfte auf der Erde, die nicht so Nett sind! Wenn die den Fehler finden oder in den drei Monaten gefunden haben, wo die Wahrscheinlichkeit übrigens sehr hoch ist, dann gute Nacht. Ok gute Nacht bei dem hier vorhandenen Fehler wohl eher nicht, aber das ist es ja! Google zieht die Schlinge bei einem doch banalen Fehler zu und die Leute regen sich über Google auf, anstelle mal die richtig zu Handeln. Nämlich entweder den Schlussstrich zu ziehen oder auch Druck auf die Firma auszuüben. Aber dafür müssen die Leute es auch wissen und somit muss es auch veröffentlicht werden dürfen. Und 3 Monate sind in der IT-Branche eine sehr lange Zeit um den Fehler auszumerzen oder wenigstens selbst dazu Stellung zu nehmen. Ich gehe sogar so weit, wissen wir aber nicht, dass Google es nicht veröffentlicht hätte, wenn Microsoft denen es plausibel erklärt hätte, warum sie noch kein Patch veröffentlicht haben.

Grüße

Forster
 
@nicknicknick: Bla Bla Bla. Wie genau macht Google MS Software sicherer, wenn sie Sicherheitslücken veröffentlichen, für die es noch keinen Patch gibt????? (Und nochmal: Es ist egal wie lang MS schon davon weiß!!!)
 
@Tintifax: Parallel an Exploits interessierte Kriminelle sollen so außen vor gehalten werden. Und wenn MS keine Lust hat seinen Windows-Flickenteppich TROTZ präziser Lückenbeschreibung zu flicken, dann ist das ein gewaltiges Problem. Aber danke dass du dich soeben als komplett ahnungslos geoutet hast.
 
@Tintifax: Man muss vielleicht auch mal darauf hinweisen, dass der Grund für die Sicherheitslücke analysiert wurde und diese Analyse mit einem Hinweis, wie man die Sicherheitslücke behebt an Microsoft weitergeleitet wurde. Außerdem hat man explizit darauf hingewiesen, dass ohne Rückmeldung dieser Fehler in 3 Monaten veröffentlicht wird. Dennoch hat MS nicht mal darauf reagiert, sie hätten ja schreiben können, dass sie mehr Zeit brauchen. Haben sie nicht gemacht. Also wie in aller Welt ist Google jetzt der Böse in deiner Geschichte. Der Bug wird eventuell schon seit langem vor der Entdeckung und der 3 Moante späteren Veröffentlichung ausgenutzt!
 
@klarso: Der Bug wird eventuell. Aber eventuell auch nicht. Jetzt wird er sicher ausgenutzt. Und das, weil Google eine Sicherheitslücke veröffentlicht hat. Ich hab Microsoft in keinem Wort in Schutz genommen. Sicherheitslücken, selbst so harmlose, gehören schnell behoben. Warum das nicht getan wurde, da kann jeder nur Vermutungen anstellen, aber einen Grund gibt es garantiert. Aber dass MS den Bug beheben muss, das ist doch sowieso klar. Allerdings veröffentlicht Google eine Sicherheitslücke. Warum da hier breit Zustimmung für dieses Vorgehen herrscht, ist mir ABSOLUT ein Rätsel, das kann Wirklich nur mit breit angelegtem MS Hass ("Super, wenn die eins drüber gebraten bekommen") und blindem Google Fanatismus erklärt werden. Google veröffentlicht eine Sicherheitslücke, die jetzt garantiert ausgenutzt wird. Von einem Produkt eines Konkurrenten. Und ich erwart mir jetzt wieder 100 Minus, es ändert nichts an der Tatsache, dass ich das für unfassbar unseriös halte, dass das eine Erpressung eines Konkurrenten ist. Und Google braucht bei Fehlern mit ihrem Android GARANTIERT nicht mit dem Finger auf andere zeigen...
 
@Tintifax: Ich glaube, das du auch sauer auf den Hersteller deines Autos werden würdest, wenn du dem bis ins Detail beschreibst, wieso dein Auto, sobald es schneller als 75 km/h fährt, einfach den Motor 2 sekunden aus und gleich wieder angehen lässt. Und der eben auch nach 3 Monaten noch nichtmal den Einfang deiner Problematikbeschreibung bei sich bestätigt hat.
Ihm deine Fristsetzung, die du sicherheitshalber gleich mitgeschickt hast, eben das du in 90 Tagen notfalls an die Presse gehen wirst, wohl glatt am Allerwertesten vorbei geht ?
Oder gehörst du zu den Leuten, die ein sich selber was helfendes zurecht schnitzen sollen oder das gar zu müssen, okay finden ?
 
@DerTigga: Nicht alles was hinkt ist ein Vergleich... Es geht nicht darum, dass sich mein Auto in alle Einzelteile zerlegt, sondern dass der Schlosshersteller X der Welt erklärt, wie man mein Türschloss vom Hersteller Y am besten öffnet. Da bin ich sowohl auf die sauer, die den Fehler im Türschloss noch nicht behoben haben, aber noch viel mehr auf denjenigen, der den bösen Jungs erklärt: "Übrigens, falls Ihr es noch nicht wisst: In die Wohnungen mit dem Schloss meiner Konkurrenz Y kommt ihr am einfachsten so: (...)". Jetzt endlich verstanden wo das Problem ist?
 
@DerTigga: äpfel...Birnen?
 
@Tintifax: Erst schreibst du von Autoteilen bzw. deren Türschlössern, dann gehts auf einmal um Haustürschlösser bzw. die von Wohnungen. Janehissklaahh..aber mir was vom hinken erzählen..
 
@DerTigga: Das mit dem Lesen ist nicht wirklich dein Ding, oder? DU bist mit einem vollkommen deplatzierten Vergleich mit einem Fehler im Auto gekommen, ich hab dir nur einen sinnvolleren Vergleich (=Türschoss, du wirst es nicht glauben, meine Wohnungstür hat auch ein Schloss) gebracht. Es ist kein Fehler, bei dem mein Computer sich auf einmal abdreht, sondern ein Fehler, bei dem sich böse unter gewissen Umständen Zugang zu Daten auf meinem Computer verschaffen können. Jetzt endlich kapiert? Wenn nicht, behalts bitte für dich, sonst wirds peinlich.
 
@Tintifax: Versuchs mal bei Wikipedia mit dem Wort Chronologie + Logik und ließ dann deinen obigen Beitrag nochmal genau daraufhin Korrektur...evt. wirds ja dann was ? Wieso soll ich mir zurechtvermuten, ab wo du NOCH von Autobestandteilen redest und ab wo SCHON von Haus oder Wohnungstürschlössern ??
 
@DerTigga: Letzter Kommentar von mir, weil mit Trollen soll man normalerweise nicht versuchen zu diskutieren. DU hast geglaubt, dass du einen etwas sehr irrelevanten Vergleich mit dem Auto bringen musst, nicht ich. Soweit kommst noch mit (Chronologie wirst ja schon in der Wikipedia nachgeschlagen haben, oder?) Dann hab ich geschrieben, dass der Autovergleich eher sinnlos ist, wenn es schon vergleichbar wäre, dann mit einem Schlosshersteller, der erklärt, wie man das Schloss des anderen knackt. Wenn Du Probleme damit hast von Deinem Auto "Vergleich" zu einem Wohnungsschloss zu wechseln, dann sorry, dann hab ich dich sogar viel zu intelligent eingeschätzt, dann nehme ich den Vergleich zurück, bzw darfst dann jedes "Wohnung" durch ein "Auto" ersetzen. Wäre es dann für dich einfacher zu verstehen wo der Unterschied zwischen deinem Vergleich ("Auto/Computer funktioniert nicht") und meinem ("Firma a erklärt wie man die Sicherheit der Firma b umgeht") ist? (Sorry, letzteres war eine rhetorische Frage, bitte nicht antworten...)
 
@Jas0nK: Windows-Flickenteppich - das Wort sagt schon alles über den Verfasser des Kommentars aus. Bleib beim VTech OS und freu Dich das Du die freie Wahl hast und Dich niemand zwingt den Flickenteppich zu benutzen.
 
@Tintifax: Was für ein sinnfreies Geschwätz von dir....schau dir gefälligst deinen Beitrag an, wie OFT du das Wort Schloss gebracht hast - zwischen DEINEM Wort: Auto Einzelteile und DEINEM Wort Wohnung - und das ganze OHNE mal drauf einzugehen bzw. aufzuzeigen, ab welchem der Türschloss (Hersteller) dazwischen, du gedanklich SCHON von den AUTO zu den WOHNUNGSschlössern gewechselt bist, OHNE das dazu zu schreiben !!
 
@DerTigga: Du bist einfach nicht imstande es zu verstehen, dass du ein Auto das sich selbst abschaltet (Großer Gag) als Vergleich gebracht hast, und ich NIE das Auto als Vergleich gebracht hab. "Und wenn sich das Auto in seine Einzelteile zerlegt" war als Steigerung deines komplett falschen Vergleichs zu verstehen. So, und jetzt hab ich WIRKLICH keine Lust mehr dir alles zu erklären... (Achja, nicht vergessen, auch wenn du hoffentlich nicht mehr antwortest, Minus drücken ist sehr wichtig...)
 
@Tintifax: lass gut sein, iss echt Energieverschwendung, zu versuchen dir aufzuzeigen, das es garnicht um das bzw. den Punkt geht, wohin du es andauernd versuchst wieder hin zu zerren. Und es erstaunlicher Weise fertig kriegst, zusätzlich so zu tun, als dürftest du dich zurecht wundern, wieso ich dein Spielchen nicht mitmache / dir nicht hinterher gerannt komme.
Ein sich abschaltender bzw. spinnender, ansonsten aber intakter Motor ist übrigens genauso ein Teil eines Autos, wie s(d)ein ansich funktionierendes Türschloss.
Was die spinnerte und zusammenhangslose Steigerung von dir, zu völlig defekten, um nicht zu sagen: von ganz alleine aus oder vom Auto abfallenden Teilen zu tendieren, eigentlich aufzeigen soll, weißt sicher nur du alleine.

Das du meinen Auto-Metapher als komplett falsch ansiehst, ist nochmal ne andere, dir sicher ebenfalls schwer abzugewöhnende Baustelle. Muss ich mir aber nicht geben.
Genauso wenig, wie es egal ist, wie lange MS schon davon weiß. Es ist zu aller erst mal nur deiner Meinung nach: egal. Was nicht vollautomatisch heißt, das du da eine allgemeingültige Aussage verfasst hast.
 
@DerTigga: Ich kann einfach nicht anders, ich kann diesen Schwachsinn einfach nicht so stehen lassen. Versuch mal dein Hirn ein wenig einzuschalten: Worum geht es, geht es um einen Fehler der auftritt, wenn ich alleine vor dem Computer sitze, oder um eine Sicherheitslücke, die von anderen ausgenutzt werden kann? In deinem WIRKLICH spinnerten und vollkommen besch... Vergleich geht es um einen Fehler, der auftritt, wenn einer mit dem Auto fährt. Das ist so als ob ein Fehler im Windows auftreten würde, der z.B. die Kiste neu startet wenn ich mehr als 2 Stunden damit arbeite. Diesen Fehler kann man am Tag 0 veröffentlichen, das ist KEIN Problem!!!! Bei dem von Google veröffentlichten Problem geht es um eine Information, mit der sie Zugriff auf fremde Daten, die sie nichts angehen, bekommen können. Das ist eine Unterstützung von Verbrechern. Niemand weiß ob der Bug schon ausgenutzt wird, sollte es allerdings Verbrecher geben die davon noch nichts gewusst haben, die freuen sich, die bedanken sich, die haben jetzt eine Information, mit der sie möglicherweise was anstellen können. Sag, ist das wirklich so schwer zu kapieren, dass hier der Vergleich "Türschloss" (Autoschloss, Wohnungsschloss, VOLLKOMMEN egal) absolut zutreffend ist, und der Vergleich "Der Motor dreht sich bei 75 kmh für 2 Sekunden ab" dümmer nicht sein kann?
 
@Tintifax: Es geht nicht um den Vergleich, ob der Motor zur Sicherheitslücke passt, sondern es geht um den vom Fahrzeug-Hersteller UNTERLASSENEN Kundendienst bzw. die Kundenfreudlichkeit dabei. Trotz Bemühungen des Kunden. Trotz detaillierter Schilderung. Trotz recht ernst zu nehmender Problematik. Trotz Gefährdungspotential für den Kunden. Oder willste nun ernsthaft behaupten, das ein mitten während der Fahrt (!) 2 sekunden ausgehender Motor, in Verbindung mit Druckabfall bei der Lenkungsunterstützung, plus Druckabfall beim Bremskraftverstärker, KEINE Gefährdung des Fahrers bzw. Kunden darstellt ?? Wärst DU bereit, mit sowas weitere 90 Tage oder 100 oder 150 Tage durch die Gegend zu fahren ? Womöglich tagtäglich über die Autobahn zur Arbeit ?
Du würdest da nicht irgendwann mit ner Art Baseballschläger beim Hersteller deiner Karre einlaufen ?
Und wenn sich MS Google als Großkunden gegenüber SOWAS traut zu bringen, es sich also quasi um mehrere tausende Autos handelt, eben indem eben satte 90 Tage lang null..nada..garnicht..nicht das kleinste bischen reagiert, dann hamse was auf den Sack zu kriegen verdient.
Du übersiehst dabei nämlich eins gewaltig: versuch einfach mal, dir vorzustellen, das außer Google da zwischenzeitlich noch wer anderes hätte drauf kommen können und sowohl Google wie auch MS es erst merken, wenn der große Knall da ist. Da soll sich Google deiner Ansicht nach wohl einfach nicht so anstellen, sich nicht wie auf glühenden Kohlen sitzend fühlen oder was ? man ..man...
 
@eragon1992: Microsoft sollte sich besser um die bereits bekannten Lücken in ihrer eigenen Sch*** Software kümmern:

http://www.heise.de/security/meldung/Microsoft-Patchday-Drei-kritische-Updates-IE-Luecke-weiter-offen-2485755.html

Der IE ist nun seit einem halben Jahr offen wie ein Scheunentor und diese Lücke wird sogar schon benutzt!
 
@TmoWizard: Wovor aber schon gewarnt wurde und, das ist der Punkt: was für den Benutzer auch relativ leicht umgehbar ist, per Einsatz eines alternativen Browsers. Ein grundsätzliches, relativ tief sitzendes Betriebssystemproblem werden aber im Gegenteil die wenigsten genauso einfach umgangen kriegen..
 
@nicknicknick: Habe ich auch nur auf Winfuture gelesen, dass jemand die 3 Monatsfrist bis zur Veröffentlichung kritisiert. Gegenteiliges ist der Fall, dadurch kann sich kein Unternehmen zurücklehnen und erst nach Jahren einen Patch veröffentlichen. Wenn ich Kritik gelesen habe (Standard, Golem, ...) dann nur das Microsoft zu langsam ist.
 
@klarso: Macht auch wesentlich mehr Sinn
 
@nicknicknick: +
"Welche "Experten" sollen das sein?"
Um Beispiel >>John Woll<<.
 
@Kribs: haha YMMD :D
 
@nicknicknick: Du scheinst kein Software-Entwickler zu sein. Eine einfache Null-Pointer-Exception ist leicht zu finden und zu beheben, ein semantischer Fehler schon deutlich schwieriger. Und wenn der Fehler eine Schnittstellen-Änderung oder gar eine Änderung der Software-Architektur erfordert, dann ist das in 3 Monaten praktisch nicht zu schaffen. Und das hat nicht unbedingt was mit Testen zu tun, denn heute hat man natürlich nicht nur automatisierte Build-Umgebungen, sondern auch automatische Test-Umgebungen. Aber allein die Entwicklung kann schon lange dauern, wenn sie weitreichende Folgen hat. Prinzipiell finde ich es aber gut, wenn Lücken nach einer angemessenen Zeit veröffentlicht werden. Ob 3 Monate hier ausreichend waren, kann ich jedoch nicht abschätzen.
 
@Nunk-Junge: Wenn es die OSS-Leute schaffen, kritische Lücken (z. B. Heartbleed) nach bekannt werden innerhalb ein paar Stunden zu flicken, dann sollte ein Konzern wie Microsoft daß doch wohl in 3 Monaten schaffen! Aber was machen die?

http://www.heise.de/security/meldung/Microsoft-Patchday-Drei-kritische-Updates-IE-Luecke-weiter-offen-2485755.html

Die Lücke im IE ist seit einem halben Jahr bekannt!
 
@TmoWizard: Und auch du beweist, dass du keine Ahnung von Software Entwicklung hast, noch dass du verstanden hast was Nunk-Junge gesagt hat.

Heartbleed war ein struntz simpler Fehler, bei dem es schon unglaublich peinlich war, dass er überhaupt entstanden ist. Ja Menschen machen Fehler, trotzdem...
Diesen Fehler zu beheben war eine echte Leichtigkeit.

Der Fehler um den es hier geht scheint weit subtiler zu sein und damit eben NICHT so simpel zu fixen sein. Wie Nunk schon gesagt hat, es gibt einfach Fehler die es erfordern, dass viele andere Teile der Software MIT angepasst werden müssen.
Das macht die Lösungsfindung schwieriger (weil man versuchen muss, andere Lösungswege zu finden) und auch das Testing weitaus aufwändiger.

Und dann war Heartbleed deutlich kritischer als dieser vorliegende Fehler...

Aber hauptsache OSS trotz der unglaublich peinlichen Heartbleed Nummer wieder auf den "OSS ist sicher"-Thron gehoben....
 
@Draco2007: also wenn ich deine Argumentation richtig verstanden habe, dann war wohl Heartbleed ein strunz dummer Fehler, der jedem Experten, wie dir z.B. sofort aufgefallen wäre und simple zu lösen gewesen ist. Gut das du natürlich weder den Fehler entdeckt noch behoben hast, aber dennoch große Reden hälst. Fühl dich mal bitte nicht zu sehr angegriffen, aber kann es sein, dass du einfach nur jeden Fehler als simple und strunz dumm empfindest der alt ist und bei dem du mit einer kurzen Googleanfrage eine vereinfachte Erläuterung findest, die für Leser gedacht ist, die nicht mit der Materie vertraut sind? Dann ist es natürlich leicht sich in Foren zu stellen und zu behaupten, dass alles wäre so wahnsinnig simpel.

Kommen wir mal zum Bug, der hier gefunden wurde, der ja anscheinend so kompliziert zu sein scheint, dass dieser von einem Team aus Softwareexperten (scheinbar solche wie du) nicht innerhalb von 3 Monaten gelöst werden kann. Und jetzt schauen wir uns mal an, was der Grund für den Fehler ist: Das Impersonation-Token wird im Systemaufruf NtApphelpCacheControl nicht dahingehend überprüft, ob es sich beim Aufrufer um einen User oder Admin handelt. Also wahnsinnig schwierig zu beheben.

Ich möchte dich da jetzt auch nicht persönlich rauspicken und deinen Beitrag runtermachen, aber vielleicht sollte man sich ja mal mit der Thematik grundsätzlich befassen, bevor man solche Kommentare, wie der von dir, raushaut. Daran erkennt man nämlich erst recht, wer hier wirklich keine Ahnung hat.
 
@klarso: in der tat hätte heartbleed bei jedem Audit auffallen müssen, nur hat halt keiner n Audit gemacht ;)

"Das Impersonation-Token wird im Systemaufruf NtApphelpCacheControl nicht dahingehend überprüft, ob es sich beim Aufrufer um einen User oder Admin handelt."
meines wissens geht's hier rum den Kontext, der user ist eh "admin" hat aber ja i.d.R. den eingeschränkten uac token.
Aus einem standardnutzer machst du da keinen admin, nur wenn er eh in der admingruppe ist
 
@0711: Ich bezweifel einfach, dass es den Leuten aufgefallen wäre, die in Foren meinen es wäre so simpel. Wenn dem so wäre und du und Draco2007 den Fehler mit Sicherheit gefunden hättet, warum macht ihr nicht ein Audit von einem anderen OS-Projekt und beweist eure eigene Aussage :) .... und an dieser Stelle wird man nur noch Ausflüchte als Antwort bekommen. Vielleicht bist du und Draco2007 ja gute Entwickler, ich brauch euch ja hier nicht zu beleidigen und möchte das auch nicht machen, aber vielleicht sollte man sich nur mit Federn schmücken, die man auch belegen kann. Solche Aussagen, wie den Fehler hätte man ja sofort gefunden, im Nachhinein rauszuhauen halte ich von Foristen hier für sehr unglaubwürdig.
 
@0711: "meines wissens geht's hier rum den Kontext, der user ist eh "admin" hat aber ja i.d.R. den eingeschränkten uac token."

Du hast jetzt nicht ganz genau beschrieben was du meinst. Aber genau darum geht es ja, wie kann ich als Angreifer aus einem einfachen Benutzer einen Administrator machen. Also beispielsweise indem man als einfacher Nutzer eine manipulierte dll ausführt und anschließend Adminrechte erhält.
 
@klarso: Zu aller erst, fehlt mir dafür die zeit, zum zweiten bezahlt mich dafür niemand...also investieren ich wenn dann nur rudimentär zeit.

Offenbar bin ich mit der Einstellung auch nicht sooo allein, denn entgegen der immer wieder breitgetretenen "bei oss schauen tausend augen drauf" sieht die Realität selbst bei einem derart breit genutzten projekt wie openssl nicht so aus. Erschaffen macht mehr bock als prüfen und prüfen ist oft sogar zeitintensiver als erschaffen.

Dass es ansich ein recht simpler Fehler war hat ja auch seggelmann selbst (der Ersteller der kaputten stelle) eingeräumt....darauf zu verweisen (war ein simpler fehler der durch einen audit auffallen hätte müssen) weist nicht darauf hin dass man ach so viel besser sei als irgendwer.
 
@0711: Es ist einer Sache darauf zu verweisen, dass der Entwickler selbst dazu ein Statement gemacht hat, indem er den Fehler als vermeidbar darstellt (wobei man ihn dennoch erst mal finden muss), aber es ist eine völlig andere Sache selbst zu behaupten, der Fehler wäre "struntz simpler Fehler, bei dem es schon unglaublich peinlich war, dass er überhaupt entstanden ist. Diesen Fehler zu beheben war eine echte Leichtigkeit." und im gleichem Atemzug sich auch über die angebliche Komplexität des Fehlers, der hier beschrieben wurde, zu äußern. Das macht ja nicht gerade den Eindruck von Kompetenz und Ahnung vom Thema, sondern eher von Fanboy-Gelaber, was man leider hier viel zu oft lesen muss. Generell schon die Idee zwei völlig verschiedene Fehler in völlig verschiedener Software miteinander zu "vergleichen", wobei Draco hier völlig ohne Belege argumentiert, klingt schon eben eher nach Fanboy und MS ist sowieso viel besser als OS ... als ob es darum gehen würde.
 
@klarso: Es gibt bei Windows 2 Arten von "eingeschänkten Benutzerkonten" (normale Benutzer)
- Administrative Konten mit UAC Token
- Normale Benutzerkonten

Administrative Konten mit UAC Token sind je nach Kontext Benutzer aber auch Admin

Normale Benutzerkonten sind immer in jedem Kontext normale Benutzer

Letzteres ist auch die Empfehlung es so zu nutzen, ersteres ist "besser wie nichts" und ein Zugeständnis an die Faulheit der Leute (und an ranzige softwareprodukte die sich verhalten wie unter Windows 98). Meines wissens tritt der fehler nur bei ersterem auf...nicht bei letzterem.
Ob der Fehler z.B. auch bei UAC in der höchsten stufe (Default zweithöchste stufe) auftritt könnte ich so auf anhieb noch nicht mal sagen.
 
@klarso: beides was du ansprichst sehe ich in meinem Kommentar nicht, wirfst mich aber trotzdem mit dem Kommentator der genau das gemacht hat in einen topf.
Die Art des Fehlers bei Heartbleed war aber in der tat etwas...dämlich...weshalb einige Leute auch viele - wenn nicht alle - commits des Herrn Seggelmann noch mal geprüft haben.

Inwieweit der Fehler hier in Windows simpel oder nicht simpel ist habe ich nicht beurteilt. Ich wüsste auch nicht wie ich das ohne deutlich mehr Details bewerten können sollte´(die unterschiedlichen uac stufen müssen ja auch bedacht werden/erkannt werden usw usf), du hast ihn allerdings durchaus bewertet....ich nehme aber an dass der fehler durchaus nicht so komplex ist aber auch nicht so kritisch.
 
@0711: Du schreibst "in der tat hätte heartbleed bei jedem Audit auffallen müssen, nur hat halt keiner n Audit gemacht ;)" also bei jedem Audit, das würde ich mal bezweifeln. Wenn Personen, die mit der Sache nicht vertraut sind, dürfte das ihnen wohl nicht möglich sein, den Fehler zu finden. Draco2007 scheint das ja problemlos machen zu können und du stimmst ihm ja zu und schreibst, es hätte in jedem Audit auffallen müssen. Also schmeiße ich euch da nicht unberechtigt in einen Topf und anstatt selbst mal ein Audit zu machen, wie ich euch vorgeschlagen habe, kommen, wie bereits erwartet, natürlich Ausflüchte. Aber selbst natürlich behaupten, das wäre in jedem Audit aufgefallen. Alles klar :D

Der Fehler und dessen Fehlerbeschreibung mit Hinweisen zur Behebung findest du im übrigen im Artikel. Und ja ich stelle die völlig gewagte These, dass nachdem die Entwickler über die Fehleranalyse des Sicherheitsforschers von Google unterrichtet wurden eine Fehlerbehebung bei dem das Token und das Tokenlevel wie in der Analyse beschrieben herangezogen wird, innerhalb von 3 Moanten implementieren könnten. Ich halte die Entwickler bei Microsoft auch für so kompetent, dass sie das nicht vor all zu großen Herausforderungen stellen dürfte.
 
@klarso: NACHDEM man ihn gefunden hat und wusste WIE er funktioniert...ja DANACH war er STRUNZ EINFACH zu korrigieren....

Das meinte ich...
Ich habe den Code nicht gesehen, ich weiß nicht wie "sauber" da generell entwickelt wurde um so eine Fehler nur durch ein Audit zu finden. Aber NACHDEM er bekannt war, war es nur eine Frage von Minuten...

Und DARUM gings doch. Du hast behauptet die OSS Community bekommt es hin in STUNDEN einen Bug zu fixen und MS braucht MONATE. DAS war deine Behauptung und ich habe nur anhand von Heartbleed dargestellt, dass diese Aussage ziemlich Dumfug ist...

Und ja ich würde niemals bei einem OSS Projekt uneigennützig helfen.
Meine Freizeit ist meine Freizeit und in meinem Beruf möchte ich gerne bezahlt werden...
 
@Draco2007: Würfel mal nicht alles durcheinander! Wo habe ich dich denn behauptet, dass der Bug in Stunden gefixt wurde? Und sorry so wie du auftritt und argumentiert glaub ich weiterhin nicht, dass du in der Lage gewesen wärst diesen so strunz dummen Fehler zu finden, geschweige denn zu beheben.
 
@klarso: Ok die ursprüngliche Aussage "Wenn es die OSS-Leute schaffen, kritische Lücken (z. B. Heartbleed) nach bekannt werden innerhalb ein paar Stunden zu flicken" kam nicht von dir. Mea Culpa...

Aber nochmal: ich habe nie behauptet, den Fehler finden zu können.
Ich habe nur gesagt, dass er leicht zu fixen war, aufgrund des Verhaltens, welches beobachtet wurde. Für jemanden der das Projekt grundlegend kennt und auch den betreffenden Code zumindest schonmal gesehen hat, sollte es keinen ganzen Arbeitstag dauern, Heartbleed zu fixen...
 
@TmoWizard: nach ein paar stunden war da gar nichts gefixt bei heartbleed...ein paar distris haben einen nicht funktionierenden patch geshipt...mehr war da nicht. In den offiziellen sourcen war das zu recht noch nicht.

Allerdings ist die lücke - wie im text auch erwähnt - wohl ncith als sehr kritisch angesehen, insofern auch die prio bei der Bearbeitung ;)
 
@Nunk-Junge: Ob man jetzt die Überprüfung eines Tokens (Admin/User), das im Systemaufruf NtApphelpCacheControl vorhanden ist, innerhalb von 3 Monaten nicht einbauen kann, wage ich zu bezweifeln. Vielleicht liegt es eher daran, dass man dem Fehler keine Priorität eingeräumt hat, vielleicht lief da auch was in der internen Kommunikation bei MS falsch, vielleicht hat man auch einfach spekuliert, dass der Fehler nicht in den Medien bekannt werden würde und Zeit hätte ihn still und heimlich erst in einem halben Jahr zu beheben.
 
@Nunk-Junge: Ja und, weißt du etwa wie kompliziert jetzt genau dieser Fehler zu beheben ist?! Wenn es so wäre dass er nur mit grundlegenden Änderungen zu beheben gewesen wäre dann hätte man eben Forshaw kontaktieren und um Aufschub bitten können, ich glaube kaum dass er bei einer nachvollziehbaren Begründung etwas dagegen gesagt hätte, schließlich soll die Frist ja nur Druck ausüben damit MS überhaupt reagiert (was sie in der Vergangenheit ja oftmals nicht getan haben)
 
@nicknicknick: Ist in dem Fall einfach vollkommen unwichtig, siehe 4. Absatz.
 
@nicknicknick: mal so ganz nebenbei ein anderer blickwinkel ganz abseits der ganzen "experten" und ihrer kritik in welche richtung auch immer - dass so etwas überhaupt durch die medien geht finde ich lächerlich.

Zitat:
"Darüber hinaus könne die Schwachstelle nur ausgenutzt werden, wenn der Angreifer über Zugangsdaten verfügt und sich lokal einloggen kann"

eine "sicherheitslücke", bei der man zugangsdaten UND physischen access zum rechner braucht um sie ausnutzen zu können?

das ist keine sicherheitslücke, das ist schlicht ein lächerlicher kleiner bug. ja er muss behoben werden aber so etwas hat in meinen augen unterste priorität.

wenn ich physischen zugang zum rechner habe brauche ich bei keinem system (egal ob microsoft, apple oder google), bei dem nicht die disken verschlüsselt sind irgendwelche zugangsdaten um mir innerhalb von minuten root access zu beschaffen. sind die disken verschlüsselt komm ich ohne passwort beim boogup erst gar nicht bis zu der stelle an der dieser fehler nutzbar ist. ergo gibt es ganz einfach kein realistisches szenario, bei dem man diesen bug exploiten könnte.
 
@dustwalker13: Das z.B. Malware dadurch, ohne UAC-Bestätigung, Admin-Rechte bekommen kann, ist für dich keine Sicherheitslücke, und kein "realistisches szenario"?
 
@Overflow: Und wie kommt die Malware auf den Rechner?

Sobald Malware auf dem Rechner ist, ist es ohnehin zu spät...
 
@Draco2007: Malware mit beschränkten Rechten vs. Malware mit Admin-Rechten ist schon ein Unterschied.

Außerdem ging es ja eher darum, das behauptet wurde, das sich diese Lücke nicht ausnutzen lässt, und eigentlich sogar gar keine Lücke ist...
 
@dustwalker13: man brauch keinen physischen Zugang, wo hast du das Märchen her? Von unseren üblichen "Experten", die mal wieder hier den Anwalt von Microsoft spielen wollen. Fakt ist man brauch nur ein lokalen Nutzeraccount mit split-token Adminrechten. Der Angriff kann dann von der Ferne erfolgen, z.B. über einen SSH Zugang oder per Drive-By durch eine Lücke im Internet Explorer, da ist ja seit einem halben Jahr noch eine offen. Das Problem ist nicht so unkritisch wie es Microsoft jetzt versucht darzustellen.
 
@nicknicknick: Es ist immer wieder unfassbar zu sehen, dass die Google-Fanboys alle Machenschaften ihres hochverehrten, ach so unBÖSEN Lieblingskonzern verteidigen.
Von miesem Schulhof-Rüpel-Benehmen (Aussperren von Windows Phone-Nutzern von Google-Diensten) bis hin zu klaren Gesetzesverstößen (Aushorchen ungesicherter WLANs), wird mit der Behauptung, die Opfer seien SELBER SCHULD, jedes noch so dreckige Verhalten von Google gerechtfertigt.
Google sagt, man habe Microsoft auf den Fehler hingewiesen. Nachdem Microsoft nicht innerhalb einer willkürlich von Google festgesetzten Frist eine Problemlösung geliefert hat, hat man das Problem veröffentlicht.
Ich versuche es nochmal mit einem Vergleich aus dem echten Leben (obwohl in der Vergangenheit selbst die einsichtigsten Beispiele bei den Google-Fanboys nicht gefruchtet haben):
Herr G. schreibt an Autohersteller M.: "Ich habe entdeckt das die Türschlösser ihrer C-Klasse-Modelle defekt sind. Dies ist ein Sicherheitsrisiko. Beheben Sie das."
Nachdem Autohersteller M. nicht sofort eine Rückruf-Aktion gestartet hat, klebt Herr G. Plakate, schaltet Zeitungsanzeigen und Internet-Werbebanner: "Alle C-Klasse-Modelle sind leicht zu klauen, da ihr Türschloss defekt ist."
Wer das genauso in Ordnung findet, wie das was Google mit Microsoft gemacht hat (und zukünftig sicher weiter so machen wird), hat eindeutig eine reichlich zweifelhafte Vorstellung von Recht und Moral.
 
@AhnungslosER: Forshaw hat den Bug am 30.09.2014 an MS gemeldet zusammen mit Informationen, wie er zu beheben ist und mit dem ausdrücklichen Hinweis, dass er nach Ablauf der üblichen(!) drei Monate automatisch öffentlich wird. Das Prozedere ist also nichts neues und in der Vergangenheit hat MS oft genug auf diesem Weg gemeldete Lücken fristgerecht geschlossen oder wenigstens begründet um Verlängerung gebeten. In diesem Fall erschien ihnen die Gefahr wohl nicht groß genug oder jemand hat es einfach verpennt. Sicherheitslücken die ein Entwickler mit guten Absichten findet kann genauso gut auch ein Entwickler mit bösen Absichten finden, es ist sogar absolut nicht unwahrscheinlich, dass schon andere auf genau diesen Zero-Day-Exploit gestoßen sind. Das einzig unverantwortliche an der Sache ist, dass MS nach 3 Monaten eine bekannte Lücke nicht geschlossen hat.
Wie verblendet muss man als MS-Fanboy eigentlich sein, um jetzt Google für diese Gefährdung der Anwender durch MS die Schuld zu geben? Das kannst du einfach nicht ernst meinen, ich schätze dich eigentlich intelligenter ein!
 
@nicknicknick: Danke für die positive Einschätzung meiner Intelligenz (ein Kompliment das ich grundsätzlich gerne erwidere).
Als Beweis ebendieser Intelligenz will ich mein Argument präzisieren: Unzweifelhaft war es fahrlässig und damit falsch von Microsoft nicht schneller/früher an der Fehlerbehebung zu arbeiten.
Aber die Welt ist nicht entweder nur Schwarz oder Weiß. Googles Verhalten ist meiner Meinung nach GENAUSO fahrlässig. Denn mein Beispiel aus dem echten Leben zeigt ziemlich deutlich, dass wenn eine Partei sich falsch verhält, ein ebenso falsches Verhalten einer anderen Partei dadurch nicht automatisch zu richtigem Verhalten wird.
 
@AhnungslosER: Wenn du schon einen Autovergleich bringen willst dann wenigstens einen treffenderen. Google ist eben in erster Linie nicht Konkurrent im Bereich Windows, sondern gleichzeitig auch Nutzer und Anbieter von Software für Windows. Also wäre das so wie wenn ATU einen kritischen Fehler in der Motorsteuerung des neuen Golf findet durch den dieser jederzeit per Bluetooth zum brennen gebracht werden kann und diesen an VW meldet, ohne dass irgendeine eine Reaktion seitens VW erfolgt. Wärst du als Kunde da ernsthaft sauer auf ATU?
 
@nicknicknick: Gut, dass wir eine seriöse Diskussionsbasis gefunden haben.
Allerdings finde ich das von dir gewählte Beispiel nicht einschlägig.
Es geht bei dem Problem in Windows 8.1 nicht um einen Defekt oder eine Beschädigung die hervorgerufen werden kann, wie der von dir beschriebene Brand durch die Motorsteuerung.
Es geht darum, dass sich jemand Zugriff verschafft, zu dem er (in diesem Umfang) nicht berechtigt ist. Deshalb habe ich bewusst das Beispiel mit dem Türschloss gewählt.
Und insbesondere ging es mir darum, dass wer den Fehler veröffentlicht (der definitiv durch Microsofts mangelnde Umsicht in der Welt ist), die Verantwortung dafür trägt die potenzielle Zahl von Angriffen bis zur Behebung des Problems zu erhöhen, im Vergleich zu einem unveröffentlichten Fehler.
 
@AhnungslosER: Aber MS ist doch nicht nur für die ursprüngliche Entstehung verantwortlich, sondern auch dafür, dass der Fehler nach mehr als 3 Monaten nicht gefixt ist. Mit der lapidaren Begründung er sei nicht schwerwiegend genug. Googles Initiative hast jetzt lediglich dafür gesorgt, dass potentielle Ziele über die Bedrohungslage aufgeklärt wurden und Gegenmaßnahmen ergreifen können, was ja auch das ursprüngliche Ziel der 0-Day-Initiative war.
 
@nicknicknick: Ich wüsste nicht welche Gegenmaßnahme ein Durchschnittsnutzer gegen eine solche Lücke vornehmen sollte, nun da er dank Google davon weiß (außer vielleicht, da der konkrete Fall physischen Zugriff erfordert, seinen Computer in einem abschließbaren Schrank wegzusperren).
Von daher bleibe ich dabei, dass die Veröffentlichung des Problems die Gefährlichkeit erhöht, da nun zahlreiche Leute versuchen können es zu ihren schlechten Zwecken zu nutzen, die vor Googles Veröffentlichung nichts von dem Problemwussten, aber nur wenige echt wirksame Gegenmaßnahmen ergreifen KÖNNEN.
Darüber hinaus konnte ich mir von vorneherein nicht vorstellen, dass Microsoft den Fehler ignoriert und nicht an einer Lösung arbeitet, weil er eine zu geringe Priorität haben soll.
Ich hielt es es von vorneherein für wahrscheinlicher, dass die Fehlerbehebung aufgrund Komplexität längere Zeit brauchte. Als Externer war es mir aber zu gewagt, darüber zu spekulieren, ob oder wann Microsoft eine Fehlerbehebung veröffentlicht.
Anscheinend schneller als mancher erwartet hätte:
http://winfuture.de/news,85339.html
Und dass Google, in Kenntnis der Tatsache das die Behebung des Problems bevorstand, nicht bereit war von ihrer willkürlich gesetzten Veröffentlichungsfrist abzurücken und zwei weitere Tage zu warten, lässt jetzt wirklich den Eindruck entstehen, dass es ihre Absicht war Microsoft öffentlichkeitswirksam bloßzustellen.
Und garniert wird das ganze mit der Doppelmoral das Google sich nicht mit der Behebung von Sicherheitslücken in Android-Version 4.3 (ungefähr so lange im Markt wie Windows 8) und darunter befassen will und somit rund 60% der Android-Nutzer im Stich lässt (http://www.zdnet.de/88215864/google-laesst-sicherheitsluecken-aelteren-android-versionen-ungepatcht-930-millionen-nutzer-betroffen/).
Dies lässt Googles Behauptung, dass es ihnen um mehr Sicherheit in der IT im Allgemeinen ginge (und dass sie deshalb nach Problemen in Windows suchen), noch unglaubwürdiger erscheinen.
 
Na zum Glpck ist Google nicht "Evil".
 
@duro: Man hat MS drei Monate Zeit gegeben und dies auch so angekündigt. Hätten sie ein Jahr gewartet wäre bei MS vielleicht ein Jahr lang nichts passiert. Manchmal wird MS leider erst aktiv wenn man ihnen wie hier einen kleinen "Ar***tritt" verpasst. Der Google-Mensch hätte die Lücke ja auch an die NSA verkaufen können, dann wüssten wir jetzt nicht mal daß sie existiert.
 
"Google veröffentlicht ungepatchten Zero-Day-Exploit" Per Definition wäre es ein 90 days exploit oder?
 
@hundefutter: korrekt. Google hat 3 Monate davor MS informiert und explizit noch mal darauf hingewiesen, dass gefundene Sicherheitslücken automatisch 90 Tage nach dem MS informiert wurde, veröffentlicht werden. Ganz normales Vorgehen, MS hätte genügend Zeit gehabt zu patchen, sehen aber das Sicherheitsloch nicht als gravierend genug an. Das nachsehen für Microsofts Trägheit haben mal wieder die Kunden. Hoffentlich lernt Microsoft mal daraus!
 
@klarso: Definition laut Wiki: "Zero-Day-Exploit nennt man einen Exploit, der eingesetzt wird, bevor es einen Patch als Gegenmaßnahme gibt."

Ist er eingesetzt worden ? Ruft doch mal alle bei MS an, die hier so schlau rumposaunen. Google sitzt selbst im Glashaus, so what.
 
@Flecky: Englische Definition laut wikipedia: "It is called a "zero-day" because the programmer has had zero days to fix the flaw"
 
@hundefutter: Ja, jetzt haben es wir in beiden Sprachen und nun? Die Bedeutung ist die gleiche. Das nächste mal bitte den ganzen Satz kopieren.
"....(in other words, a patch is not available). "
 
@Flecky: Gratuliere, du hast die Definition anscheinend in zwei Sprachen nicht verstanden.
 
@hundefutter: Nur weil du mich beleidigst hast du damit noch lange kein Recht!
 
@Flecky: "Zero-Day-Exploit nennt man einen Exploit, der eingesetzt wird, bevor es einen Patch als Gegenmaßnahme gibt. Entwickler haben dadurch keine Zeit („null Tage“ englisch zero day), die Software so zu verbessern, dass der Exploit unwirksam wird, um so deren Nutzer zu schützen. Entdeckt eine Person eine Sicherheitslücke und meldet sie nicht dem Software-Hersteller, sondern entwickelt stattdessen einen Exploit, um diese auszunutzen, so wird die Schwachstelle der Software oft erst lange nach dem ersten Angriff bekannt." [Wikipedia]

Also ein Exploit bei dem die Entwickler keine Zeit hatten einen Patch zu entwickeln, bevor die Sicherheitslücke bekannt wurde und ausgenutzt wird. Bei der Sicherheitslücke hier wurden den Entwickler die Sicherheitslücke bereits seit 90 Tagen mitgeteilt.

"Entwickler haben dadurch keine Zeit („null Tage“ englisch zero day), die Software so zu verbessern, dass der Exploit unwirksam wird, um so deren Nutzer zu schützen. Entdeckt eine Person eine Sicherheitslücke und meldet sie nicht dem Software-Hersteller, sondern entwickelt stattdessen einen Exploit, [...]" das trifft auf diese Sicherheitslücke nicht zu (war ja den Entwicklern bereits bekannt) und widerspricht deiner Aussage.

"Zero-Day-Exploit nennt man einen Exploit, der eingesetzt wird, bevor es einen Patch als Gegenmaßnahme gibt." Wenn man nur den ersten Satz der Definition liest, würde es deiner Aussage entsprechen.

Wenn man noch andere Quellen heranzieht, wie z.B. http://www.kaspersky.com/de/internet-security-center/definitions/zero-day-exploit

"Ein Zero Day Exploit Attack (ZETA) ist ein Angriff, der am selben Tag erfolgt, an dem eine Schwachstelle in einer Software entdeckt wird. In diesem Fall wird die Schwachstelle ausgenutzt, bevor sie vom Softwarehersteller durch einen Fix geschlossen werden kann."

Dann scheint mir deine Definition als hier nicht zutreffend.
 
Will der Typ jetzt 'nen Kranz aus Lorbeeren haben, oder was ist da los?
 
@levellord: Nein, er will nur dass MS endlich die Sicherheitslücke schließt.
Aber das sollte ohnehin für jeden der den Artikel gelesen und auch kapiert hat ersichtlich sein...
 
@levellord: er will gar nichts, er arbeitet für einem gewissen Programm zu bei dem nach 90 tagen automatisch veröffentlicht wird.

Dass da jetzt so ein Hype drum gemacht wird - um eine lücke die ehrlichgesagt halb so wild ist - liegt halt daran dass der entdecker bei Google arbeitet und die lücke bei MS ist (uuuuhhh großer it fight -> medienscheisse)
 
Ich ziehe mal einen gern genommenen Autovergleich heran. Kritischer Sicherheitsfehler wird in einer Produktions/Konstruktionscharge entdeckt und dem Konzern mitgeteilt. Nach 90 Tage ist immernoch keine Rückrufaktion gestartet worden. Konkurennt A teilt öffentlich mit: Wenn sie mit dem Auto das und das tun, passiert das und das und Ihr Fahrzeug und evtl. Ihr Leben ist dadurch in Gefahr. Who is the Evil?
 
@Candlebox: Der Vergleich hinkt. Das wäre eher so als wenn man sagen würde "Wenn sie bei ihrem Auto den Rückwärtsgang einlegen, den Tankdeckel öffnen und mindestens 2 Türen offen haben, DANN könnte es unter Umständen passieren, dass jemand aus dem Auto fällt".

Es geht hier um einen Exploit der möglich ist, wenn der Angreifer schon LOKALEN Zugriff hat. Da ist es meiner Meinung nach ohnehin schon zu spät. Ich hätte diesen Exploit auch sehr niedrig in der Priorität eingestuft...
 
@Draco2007: Er muss nur einen Account besitzen um Adminzugriff zu gelangen. Also beispielsweise kann man auf einen Server vollen Zugriff bekommen, wenn man zum Beispiel über einen SSH-Nutzer verfügt. Das ist sehr relevant z.B. für Webserverbetreiber oder Rechenpoolbetreiber. Um deinen Autovergleich mal wieder heranzuziehen, das ist so als würde in Taxis, der Kunde einen Knopf haben mit dem er den Fahrer per Schleudersitz aus dem fahrenden Auto schmeißen kann und das Taxi stehlen kann. Jetzt kommst du und sagst, das ist völlig unrelevant, Taxifahrer hätten damit kein Problem :D
 
@klarso: Es geht hier um Windows 8.1 und nicht um ein Server OS. Nicht unnötig noch dramatisieren und es braucht auch noch Kenntnisse, die auch nicht jeder hat.

Der Auto Vergleich hinkt, weil es dabei um Leben und Tod gehen könnten, bei Software nun ja, einfach den gesunden Verstand gebrauchen ..... Man kann ja alles unnötig hochpaschen und dramatisieren. Dies soll die Angelegenheit nicht schmälern, aber bitte ......
 
@Rumulus: Rechnerpools laufen ja auch mit Windows 8.1 und Windows 8.1 gibt es auch als Server Variante. Zudem überleg mal welche Software alles mit Benutzerrechten läuft, ein Browser zum Beispiel.
 
@Rumulus: im artikel geht doch ganz klar hervor, daß der bug in 8.1 gefunden wurde, aber nicht klar ist, welche weiteren ms produkte betroffen sind. erstmal beitrag lesen, nech?
 
@klarso: Hör auf mit deiner Panikmache hier, um das Problem zu lösen muss man nur die UAC auf die höchste Stufe zu setzen und Schluss ist mit der Lücke bis MS einen Patch parat hat! Über den Browser kann die Lücke nicht ausgenutzt werden! Immer diese Halbwahrheiten und Lügen ......

http://www.heise.de/security/meldung/Google-veroeffentlicht-Exploit-fuer-Zero-Day-Luecke-in-Windows-2507565.html

https://code.google.com/p/google-security-research/issues/detail?id=118
 
Mhh man braucht physischen Zugriff damit die Lücke ausgenutzt werden kann, somit sehe ich auch kein absolute Dringlichkeit, wenn andere Lücken bestehen die keinen physischen Zugriff erfordern. Dies soll nicht bedeuten, dass MS die Lücken ignorieren darf, aber man muss Prioritäten setzen.

Drei Monaten mag dem Laien lang vorkommen, aber bei einer Komplexität wie einem OS kann dies sehr kurz sein, insbesondere wenn andere Baustellen die dringenden sind, noch anstehen.
 
@Rumulus: Nein, physischer Zugriff ist nicht erforderlich, man muß sich "lokal einloggen" können, genauer gesagt eine Malware muß mit den Rechten eines lokal existierenden Benutzers laufen. Das geht evtl. auch aus der Ferne wenn man Zugangsdaten für einen lokalen Account hat oder du lädst aus dem Internet einen Schädling der dann mit deinen Userrechten Vollzugriff erhält obwohl du nur ein eingeschränkter Benutzer bist. Kann auch als Drive-By-Download passieren oder durch eine der *ähem* "seltenen" ;) Flash- oder Java-Lücken usw. Also nicht ganz so theoretisch und realitätsfern wie man zuerst meint.
 
@Rumulus: wie ich weiter oben schon geschrieben habe und wie auch schon Harald.L geschrieben hat, NEIN ES IST BLÖDSINN WAS DU SCHREIBST, man benötigt kein physischen Zugriff auf den Rechner um die Lücke auszunutzen. Verbreite doch nicht so ein Unsinn!
 
lol, SicherheitsForshaw
 
@doubledown: (+) kann grad nichtmehr aufhören zu lachen.
 
Mal abgesehen davon daß das jetzt einer von Google war ist das doch ein völlig normales Vorgehen daß sowas nach x Tagen veröfffentlicht wird. Wo ist da jetzt der Unterschied zu anderen Sicherheitsexperten?
 
@Johnny Cache: Die User springen halt eher auf Google vs Microsoft, Windows vs OSX vs Linux an als auf tatsächlich normale Vorgänge und da wird halt schnell aus einem "Microsoft hat die Lücke nach 90 Tagen noch nicht gepatched, arbeitet jetzt aber daran" bei einigen zu einem "Google hat Microsoft einen reingedrückt" und dann macht es bei denjenigen leider Klick und sie kommen auf die Idee sie müsten jetzt mit ihren Kommentaren Anwalt von Microsoft spielen. Ist aber nicht nur bei Microsoft News so, Fanboys gibt es ja in jedem Lager. Einen interessanten Artikel zu dem Thema gibt es z.B. hier http://www.theverge.com/2014/1/21/5307992/inside-the-mind-of-a-fanboy (wie gesagt trifft genauso auf Leute zu, für die Apple, Linux ... heilig ist).
 
@klarso: ich mag deine argumentation, auch weiter oben und daß du nicht als fanboy partei ergreifst. das werd ich ja wohl auch mal sagen dürfen.

btw. windows hat, wie jedes os, so viele zero day lücken, daß es auf diese auch nicht mehr ankommt. unterschätze niemals die kriminellen oder die nsa zum bleistift. denn die haben das echte wissen, was das angeht.
 
@Johnny Cache: es gibt hier durchaus unterschiedliche Vorgehensweisen, es gibt im Prinzip folgende lager
- es wird sofort veröffentlich
- der Hersteller wird informiert und es gibt einen fixen Zeitraum bis zur Veröffentlichung
- der Hersteller wird informiert und es wird gewartet bis dieser einen fix hat
- der Hersteller wird nicht informiert, es wird handel damit getrieben (Geld gemacht)

Persönlcihe sehe ich die zwei mittleren varianten als die sinnvollsten und ich sehe Argumente für beide....
 
Peinliche Leistung von Microsoft. Irgendwie wird nur noch gefrickelt und gemurkst, was meinen Gesamteindruck der Windows-Entwicklung in den letzten Jahren nur bestätigt. Ich bleibe bei Win7 Pro bis es eine Alternative für mich gibt. Mac oder Linux... W7 Pro läuft ja bis 2020...
 
@Jas0nK: rofl, mac in Sachen Sicherheiten anführen ist schon....grenzwertig.
 
@0711: achso?
guckst du hier:
http://www.pcwelt.de/ratgeber/Windows_8.1_vs._OS_X_Yosemite_im_Duell-Kampf_der_Giganten-8982666.html
 
@Speedy38: apples umgang mit sicherheitsproblemen ist gelinde gesagt lachhaft und systemseitig ist osx auch nicht sicherer...ein komprimittiertes System (wie im Artikel beispielhaft gezeichnet) gehört platt gemacht, nichts anderes.
OSX ist von der Sicherheitsarchitektur Windows in keinem Punkt überlegen.

Wenn
http://www.heise.de/security/meldung/Pwn2own-Fazit-Mac-hacken-macht-Spass-Windows-ist-harte-Arbeit-208604.html

Auch das dürfte für sich sprechen
"Nehmen Sie zum Beispiel Microsoft: Dort hat man so viel Geld für die Schließung von Sicherheitslücken ausgegeben, dass für gravierende Schwachstellen in Windows mittlerweile siebenstellige Summen gezahlt werden"
http://www.faz.net/aktuell/feuilleton/medien/trojaner-im-bundeskanzleramt-gespraech-mit-dem-it-sicherheitsexperten-felix-von-leitner-13345470.html

Nebenbei bemerkt ist vieles in deinem Artikel falsch, ich gehe mal nur auf den "sicherheitsteil" ein.
"Macs hingegen waren lange Zeit immun gegen die meisten Angriffe,"
Unsinn, es gab ledglich keine, von Immunität zu sprechen ist lachhaft
"es kann Sie aber nicht vor selbstinstallierenden Schadprogrammen schützen wie OS X"
es gibt auch unter Windows kein sebstinstallieren ohne sicherheitslücke, kompletter Unsinn der ganze Absatz
Dass Windows neben der filesicherung ein backup kennt scheint pcwelt nicht zu wissen
" OS X besitzt zudem eine Passwort-geschützte Firmware-Option, um das Starten externer Disks zu verhindern."
das besitzt nicht osx sondern die firmware und ist auf jedem x86 rechner umsetzbar
"Microsofts BitLocker benötigt allerdings einen Trusted Platform Module-Chip (TPM) dafür, den nur wenige PCs besitzen."
falsch
"OS X benutzt zudem keine Java-Versionen, die älter sind als Java 7 &#150; damit stopft es automatisch eine der gravierendsten Sicherheitslücken."
dafür kommen updates für Java immer verspätet :)

Allein der Absatz...ohje
 
@0711: Ja, der joke mit Java ist geil.

Man nehme sämtliche Sicherheitslücken sämtlicher Software die Leute sich installieren und die nicht Bestandteil von Windows sind und kreide dies Windows/Microsoft an.
 
@Jas0nK: Worauf warten? Mac oder Linux gibts jetzt schon. Deinem Glück steht nichts im Wege. Glaub an Dich, Du schaffst das - tschaka
 
@Jas0nK: Las dich nicht von diesen Fanboys vollquatschen. Wenn dir Apple, Linux oder auch ein neues Windows zusagt, dann kaufe es einfach. Es ist echt tragisch das die intolerantesten User aus dem Windows Lager kommen. Und Windows hat einen Marktanteil von 90%. Wenn man von anderen Betriebsystemben keine Ahnung hat, nimmt man halt ein Klicki Windows in Schutz. Hauptsache man kann zocken.
 
@HatzlHotzl: Warum hier unterwegs? Langeweile? Auch in allen Autoforen unterwegs um den anderen mitzuteilen das ihr Auto nichts taugt sondern nur das von dir erwählte?

Soll Menschen geben die haben mehrere Betriebssysteme in Verwendung, sind keine Gamer und bevorzugen trotzdem Windows.
Die Welt ist so schön einfach:
Hat einer Lungenkrebs ist er bestimmt Kettenraucher.
Macht einer Rechtschreibfehler ist er bestimmt dumm wie Brot.
Und bevorzugt einer Windows dann hat er keine Ahnung.
 
LOL... Großartig... Google will auch mal einen Ehrentreffer bei der Sicherheit machen. Bei Microsoft sind Sicherheitslücken ein Problem, ein Unfall, ein Versehen. Bei Google kann man sie sich teilweise kostenpflichtig runterladen: Die Apps. Das erklärt dann auch wieder den App-Gap. Als Sicherheitsforscher sitzt man bei Google genau richtig: An der Quelle.
 
nuja..ms zeigt in den letzten jahren das ihre grundsäzliche qualität sehr nachgelassen hat, da is son exploit bzw sicherheitslücke nix neues...
auch schottet ms mitlerweile (seit win8) das system so ab (unter der haube), das selbt ihre eigenen updates...win zerstören können....
ms muß leider an ihrer grundsäzlichen qualität und sich gegen propatäre systeme stellen..wenn ms auch weiterhin "groß" bleiben will.
schon in den 8oern habe ich softwarekonzerne wie comodore,atari usw gesehen die genau durch diese qualität ihrer software unter gegangen sind...und ms ist heute das was in den 80ern comodore war.

ich sehe grundsätzlich ein "sterben" des pcs als solche...seit UEFI glaube ich win/PC ist nur noch eine kopie von apple schrott. auch hat sich im grunde im inneren des pcs seit fast 10 jahren nix getan (ausser das man standards umbenannt, bzw leicht abgeändert hat).
 
@anon_anonymous: Was muss sich im inneren des PCs tun um damit Dinge machen zu können die man jetzt nicht machen kann? Also sämtliche Arbeitsaufgaben lassen sich bei mir mit der vorhandenen Hardware erledigen. Leistung haben die Dinger heute soviel das 95% der Nutzer sie gar nicht brauchen.

Und die Qualität? Hm, Windows 8 ist das stabilste, flüssigst laufende und schnellste Windows das ich hier am laufen habe - selbst auf 8 Jahre alter Hardware mit Vista/7 Treibern.
Ich bilde mir ein das beurteilen zu können da hier auch noch Win95, Win98, XP, XP x64 Rechner am laufen sind.
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles