eBay: Nutzer wollte MS-Excel-Exploit versteigern

Laut Informationen des Newsportals eWeek wollte ein Nutzer des Internetauktionshauses eBay einen Exploit zu einer Sicherheitslücke in Microsoft Excel versteigern. Dabei sollte die Vernachlässigung seitens Microsoft, die gemeldeten Sicherheitslücken ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben

[o1] am ++--

Der Sinn des ganzen? Wenn sich etwas bewegen soll, ist eBay wirklich die falsche Anlaufstelle.

[o2] am ++--

Den letzten Absatz versteh ich nicht. Soll das heißen das fearwall die Information von MS höchstpersönlich bekommen hat in dem er seine email adresse und den Gutscheincode angegeben hat

[re:1] am ++--

@ajzr: geht mir auch so, ich peile den letzten Abschnitt auch nicht!

[re:2] am ++--

@ajzr: Nein, er hat MS angeboten ihnen das Exploit "ermässigt" zu überlassen sofern sie seinen ihnen übermittelten "Gutschein" einlösen (indem sie den Code ins Netz stellen). Der Gutscheincode war LINUXRULZ. Vieleicht etwas verwirrend geschrieben das ganze.

Bearbeitet am 11.12.05 um 18:45 Uhr.

[re:3] am ++1 --

@ajzr: Nein, der Exploit sollte "versteigert" werden. Und wenn sich ein Microsoft-Mitarbeiter mit seiner E-Mail-Adresse und diesem Rabatt-Code im Internet ausgewiesen hätte, hätte er den Exploit zu einem "ermäßigten Preis" bekommen, was natürlich niemand gemacht hat und auch nicht machen würde. Das soll also quasi ein weiterer Scherz dieses Nutzers sein.

[o3] am ++--

Besser als hier im Forum über Micro$pft zu schimpfen

Bearbeitet am 11.12.05 um 18:37 Uhr.

[o4] am ++--

Also manche Leute haben echt 'ne Schraube locker. Weil MS auf die Schwachstelle nicht so reagiert wie er es will, vertickert er den Exploit 3 Tage später. Warum zieht der PC nur so viele Irre an?

[re:1] am ++--

@gordonflash: Das frage ich mich schon lange. Nur daraus entsteht eine neue Frage: Die Irren - sitzen die auf der Seite von Microsoft oder sind es wirklich diejenigen, die sich einen "Scherz" daraus machen? Schlecht finde ich es nur, das Microsoft durch "Stillschweigen" versucht, den User ein gutes Gewissen zu vermitteln, anstatt aktiv etwas dagegen zu tun. Wie schon mein Opa immer sagte: Unwissenheit schützt vor Strafe nicht - nur der dumme User ist wieder mal der Gelackmeierte. Also mal abwarten und schauen, was passiert.... (war der letzte Satz wohl 2deutig?)*lol*

[o5] am ++--

Irgendwie zieht der Wahnsinn immer weitere Kreise um MS. Die Firma und deren (fast schon) militanten Gegner nehmen sich z.T. nicht viel. Da muss man "Windows rult" oder "MS stinkt" Beiträge ja fast schon als deeskalierende Maßnahmen begrüssen.

[o6] am ++--

irgendwann kommt irgend ein depp noch auf die idee mit ner bombe zu drohen falls es für ne lücke nicht am gleichem tag ein patch gibt -.-

[o7] am ++--

smk778, fürher fearwall, sollte man doch nicht SOOOOO ernst nehmen, tststs

[o8] am ++--

Tolle Idee, schade das ebay dazwischen gefunkt hat. Bestimmt hat swissboy bei M$ gepetzt und die haben sich bei ebay beschwert. Am besten wäre es, wenn er die Lücke einfach veröffentlichen würde und dann wäre M$ dazu gezwungen, die Lücke zu schließen.

Bearbeitet am 11.12.05 um 19:35 Uhr.

[re:1] am ++--

@Maniac-X: LOL !

[o9] am ++--

Na das ist doch mal ne nette Idee. Und weil er's nicht versteigern durfte, kann er's Billy nun zum x-mas schenken. Der darf's behalten.

[10] am ++--

Das Gebahren von einigen Microsoft-Hassern scheint immer groteskere Züge anzunehmen.

[11] am ++1 --

Es scheinen die meisten hier nicht mal annähernd zu kapieren worum es geht!
Eine Sicherheitslücke ist eine Gefahr für die allgemeinheit!
Da von M$ Hassern oder von Bombendrohungen zu quatschen ist doch absolut abwegig.
Jedes Exploit das einem Angreifer das ausführen von beliebigem Code ermöglicht ist eine wahnsinnige Schwachstelle eben gerade bei Windows weil es so oft benutzt wird.
Nicht nur dass sowas zur Viren/Wurm Verbreitung führt, auch in Unternehmen werden somit private Daten für 3te sichtbar.
Das M$ auf solche Sachen erst spät wenn überhaupt reagiert ist eine Frechheit, freie Betriebsysteme reagieren teilweise innerhalb von Stunden mit einem fertigen Patch.
Der öffentlichkeit frei verfügbar machen kann man sowas auch nicht leicht da gelangweilte Möchtegerns solche codes nur benutzen um ihre Würmer zu verbreiten. __Siehe die letzten Major Windows Exploits...
Dann jammert aber wieder jeder!
Nebenbei gesagt, gibts nicht ein Gesetz zum Erhalt geistigen Eigentums?
Warum darf M$ Computerprogramme verkaufen und fearwall nicht?
Nicht die MILCH machts...

[re:1] am ++1 --

@Joe_RoXX: ... das ändert aber alles nichts daran das diese Art eine Sicherheitslücke zu veröffentlichen allerunterstes Niveau ist das sich kaum noch unterbieten lässt.

[re:2] am ++--

@Joe_RoXX: du scheinst nicht annähernd zu kapieren das der verkauf von exploits und nicht die freiwillige bekanntgabe erpressung ist? nicht nur gegenüber ms, sondern auch der allgemeinheit gegenüber.

[re:3] am ++--

@Joe_RoXX: hast du dir schonmal je überlegt wie komplex windows ist und ein patch incl. test desselben nicht innerhalb von stunden geht ? was sollte das bringen jeden exploit sofort zu veröffentlich wo es soviele scriptkiddies im netz gibt denen sicherheit sche?? egal ist und die sich mehr an der zerstörung erfreuen, wir würden das gegenteil von sicherheit erreichen wenn jeder hanswurst exploits ins netz stellt.

[12] am ++--

@n00n, es geht hier nicht um ein Exploit für die 2 Jahre alte Version eines Windows Webservers. Wenn ich wüsste mit nem Knor* Suppenpulver und der DuschDa* Spülung ne A-Bombe herstellen könnte würde ich auch nicht gleich an die Öffentlichkeit damit gehen. Klar ist es eine Möglichkeit, nur alle die es nicht mitbekommen sind die angeschissenen!
@voyager, ich sage nicht dass es leicht ist, aber sieh dir mal GENTOO an. Diese Linux Dist. antwortet wirklich in Std. auf Sicherheitsangelegenheiten und ist natürlich frei verfügbar.
Komplex... Sicher ist jedes moderne OS komplex, aber das steht nicht zu debatte, meinst Linux oder Solaris sind nicht komplex??

Bearbeitet am 11.12.05 um 21:49 Uhr.

[re:1] am ++--

@Joe_RoXX: Windows ist garantiert komplexer! denn es muss zu sehr viel mehr hard/software kompatibel sein als Linux oder Solaris
(Ich hör schonwieder alle schreien...)

[re:2] am ++--

@Joe_RoXX: 1. benutz doch bitte den antwort pfeil, oder ist das zu komplex für dich??? 2. ich finde es gut das der typ diesen weg gegangen ist, somit schadet er M$ image. außerdem sind alle firmen, privatleute usw selbst schuld, wenn sie windows nutzen. ich selbst benutze windows xp pro und ich weiß, das wenn ich mir einen virus oder so einfange selbst schuld bin, pech gehabt

[re:3] am ++--

@Darkstar85:
Ich will mich nicht über die einzelnen Betriebssysteme streiten, jedem das seine. Grundlegend ist aber doch wohl einzusehen dass wenn M$ solch einen Fehler IGNORIERT das eindeutig nicht der richtige Weg sein kann..
@Maniac-X:
Danke für den Tip :)
M$ hat ganz klar Vorteile, steht ausser Frage. Z.B kann mein Opa auch nen Taschenrechner benutzen :)
Die grundlegenden Probleme von Win sind allgemein bekannt und auch das steht ausser debatte.
Es geht ja nichtmal um Win, sondern hier um M$ Excel, was einfach zu weit verbreitet ist und benutzt wird als dass man einen solchen Fehler ignorieren kann!. Stellt euch vor das Exploit wird als private in diversen Kreisen weitergegeben, nicht aber an die öffentlichkeit!.

[re:4] am ++--1

@Maniac-X: Mit solchen Aktionen schaden weniger dem Image von Microsoft, als seinem eigenen Image und dem von anderen sogenannten "Sicherheitsexperten". @Joe_RoXX: Microsoft hat den Fehler ja nicht ignoriert sondern umgehend bestätigt. Jeder weiss aber das ein Update bei Microsoft einen längeren Prozess durchläuft bis es veröffentlicht wird, daher ist eine solche Aktion bereits nach wenigen Tagen nur mir vorsätzlicher Boshaftigkeit zu erklären. PS: Deine kindische M$-Schreibweise zeigt deine Voreingenommenheit überdeutlich.

Bearbeitet am 11.12.05 um 22:29 Uhr.

[re:5] am ++--

@swissboy:
falls jemand versteht was du eigentlich sagen willst ist er sicher über das resultat enttäuscht.
2. Wir können gern mal drüber diskutieren was bei einem Exploit vorsätzliche Boshaftigkeit ist, im mom ist mir nicht ein Wurm bzw die daraus resultierenden botnets usw bekannt das sich über diese Lücke verbreitet bzw deren möglichkeiten nutzt oder gesammelte Informationen austauscht. Wäre der Author des Exploits ein so boshafter Mensch hättest du wohl schon lang den passenden Wurm dazu auf deinem rechner.
Meine "kindische" Schreibweise zu M$ sagt dir natürlich viel, is klar, an deim Nick kann ich auch 5 eigenschaften erkennen die ich bei net usern ungern seh. Meine Vor / Unvoreingenommenheit gegenüber das OS hat wohl jeder der lesen kann bemerkt.
//edit
Man kann das Problem schon daran erkennen dass auf diversen Sites lange vor dem offiziellen M$ release POC Patches angeboten werden, mit denen sich zumindest eine notdürftige Lösung bietet!.

Bearbeitet am 11.12.05 um 22:56 Uhr.

[re:6] am ++--

@Joe_RoXX: Es ist richtig, es steht nicht zur Debatte wie komplex das OS ist. Es steht auch nicht zur Diskussion das jeder die freie Wahl des OS hat. Meine Aussage bezog sich lediglich auf den Sachverhalt das ein kommerzielles Interesse bestand, was das Bug-Fixing anging. Wenn du eine Firma bist, dir jemand sagt das jeden Tag 10 Briefe von Kunden in deinem Postfach fehlen, und diese Person dir vorschlägt für 50€ (ja sogar ermäßigt) das Geheimnis zu lüften und deinen Kunden zu erzählen... also bitte. Das hat nichtsmal damit zu tun, wann du dich selbst um das Problem kümmerst. Das ist eine Vorgehensweise der übelsten Art. Realisiert durch eigene Fehler, Veröffentlicht durch eine seriöse Handelsplattform die mit diesem "Angebot" wieder eine Lachnummer gebracht hat, behoben in keinster Weise. Ich denke kein "Hersteller" eines OS würde sich auf soetwas einlassen. Das ist der Sachverhalt. Das der Bug noch nicht gefixt wurde... ist mir scheiss egal. Ich verwende Excel und jeder meiner Mitarbeiter ist geschult was Sicherheitsbelange angeht. Das Netzwerk ist gesichert, die Firewall ist gesichert, jeder Client ist geschützt. Was juckt es mich wann Microsoft einen Patch rausbringt, solange eines oder alle anderen Systeme nicht versagen. Dennoch, jedes System versagt mal... dann erst kommt der Zeitpunkt an dem ich Microsoft in Frage stelle. Privat habe ich Excel nicht einmal öffnen müssen. Und selbst wenn ich es jemals tun würde, 1. nur von Personen von denen ich eine Excel-Datei erwarte und 2. erst nach Viren und Macro-Prüfung. Sollte da etwas absichtliches passieren, gibts noch immer den Rechtsweg.

Bearbeitet am 12.12.05 um 00:38 Uhr.

[13] am ++--

Da Stellt sich nun die Frage. Wenn ich eine gravierende Sicherheit'slücke finde und sie nur gegen Bares Preisgeben möchte, bin ich da nun das Böse, oder der gute der Anderern Helfen möchte (nur halt nicht umsonst) ?

[re:1] am ++--

@brasil2: Dann wärst du ein Schwachkopf der nicht begreift das Sicherheit bzw. Sicherheitslücken nunmal meist alle betrifft, und auch noch glaubt das er, in dem er sich mit so einer Nummer bei eBay zum Kasper macht, riesen Bewunderung ernten und geschweige denn durch 50€ ein riesen Gewinn machen würde, und mit ein wenig Verstand hätte auch wissen sollen das sich MS nie auf so einen Schwachsinn erpressen lassen bzw. ernsthaft drauf eingehen würde. :-)

Bearbeitet am 13.12.05 um 04:48 Uhr.

[14] am ++--

Leute Leute, was wird den das hier - Das ein DreiKäseHoch meint, er muss einen MS Exploit bei eBay verhöckern und Forderungen stellen, die Microsoft SICHER NICHT erfüllt - naja, klingt wie ein (ugs.) Schwanzvergleich. Obwohl ich hauptsächlich mit unix arbeite verstehe ich diese Hetzpredigten nicht! Einen Fix für einen Exploit kauft man nicht in einem Tante Emma Laden! Aber manche lernens halt nie - OS ist halt ein wenig komplexer als ein Kernel.