Windows 7, (vermutlich) kaputt in der Packung und Keinen interessierts?

Bernhard Reiter reiter at fsfeurope.org
Di Okt 20 10:12:21 UTC 2009 

Zur Zeit muss ich stark annehmen, dass das Windows 7, was es offiziell ab 
Donnerstag (den 22.10.) für Endbenutzer zu kaufen geben wird, 
von der Ferne aus abgeschossen  werden kann, 
wenn ich SMB2 anhabe und an den Port rankomme.

Das BSI bewertet das Problem als "hohes" Risiko (Die 4. von 5 Stufen.):
https://www.cert-bund.de/advisoryshort/CB-K09-0315%20UPDATE%201
Die haben sicher Microsoft schon Tage vor der Meldung informiert.
Mit einer gewissen Wahrscheinlichkeit kann aus einem solche "Abschiessen" auch 
ein Ausführen von Quelltext aus der Ferne werden.

Schon vor einigen Tagen gab es starke Hinweise, dass Microsoft auch intern 
bekannte Lücken erstmal nicht so schnell erledigt.
(Die dortgenannte Lücke ist auch in SMB2, aber eine _völlig andere_:
http://www.heise.de/security/meldung/SMB2-Luecke-offenbar-schon-laenger-bei-Microsoft-bekannt-831618.html)

Diese beiden Ereignisse lassen vermuten, dass es kein Einzelfall, sondern eine 
Einstellung des Herstellers ist, der vermutlich in Kauf nimmt, dass eine 
solche Lücke beim Kunden aufschlägt. 
Das sollten die potentiellen Kunden doch wissen, 
bevor sie zur Packung greifen, oder?

(Hier zeigt sich auch eine allgemeine Schwäche der unfreien Software: Zu wenig 
Transparenz und Möglichkeiten das selbst nachzuprüfen.     Natürlich ist 
Freie Software nicht einfach magisch sicherer.)

Die FSFE hat dazu gerade eine Pressemitteilung herausgegeben:
http://fsfe.org/news/2009/news-20091019-01.de.html

Bisher haben die Medien das noch nicht größer aufgegriffen, vielleicht wird 
diese Art des Aussitzens von IT-Sicherheitsmeldungen - selbst bei einem neuen 
Produkt - auch als völlig normal  begriffen. 
Wo ist die Stellungnahme von Microsoft zu der BSI-Meldung?
Werden die Medien Windows 7 loben, oder auch gleich warnen?

Gruß,
Bernhard
-- 
FSFE -- Stellv. Deutschlandkoordinator           (fsfe.org)
Ihre Spende ermöglicht unsere Arbeit:  www.fsfe.org/help/donate.de.html
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 198 bytes
Beschreibung: This is a digitally signed message part.
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20091020/8274ecc5/attachment.sig>

Mehr Informationen über die Mailingliste FSFE-de