Windows 7, (vermutlich) kaputt in der Packung und Keinen interessierts?
Bernhard Reiter
reiter at fsfeurope.org
Di Okt 20 10:12:21 UTC 2009
Zur Zeit muss ich stark annehmen, dass das Windows 7, was es offiziell ab
Donnerstag (den 22.10.) für Endbenutzer zu kaufen geben wird,
von der Ferne aus abgeschossen werden kann,
wenn ich SMB2 anhabe und an den Port rankomme.
Das BSI bewertet das Problem als "hohes" Risiko (Die 4. von 5 Stufen.):
https://www.cert-bund.de/advisoryshort/CB-K09-0315%20UPDATE%201
Die haben sicher Microsoft schon Tage vor der Meldung informiert.
Mit einer gewissen Wahrscheinlichkeit kann aus einem solche "Abschiessen" auch
ein Ausführen von Quelltext aus der Ferne werden.
Schon vor einigen Tagen gab es starke Hinweise, dass Microsoft auch intern
bekannte Lücken erstmal nicht so schnell erledigt.
(Die dortgenannte Lücke ist auch in SMB2, aber eine _völlig andere_:
http://www.heise.de/security/meldung/SMB2-Luecke-offenbar-schon-laenger-bei-Microsoft-bekannt-831618.html)
Diese beiden Ereignisse lassen vermuten, dass es kein Einzelfall, sondern eine
Einstellung des Herstellers ist, der vermutlich in Kauf nimmt, dass eine
solche Lücke beim Kunden aufschlägt.
Das sollten die potentiellen Kunden doch wissen,
bevor sie zur Packung greifen, oder?
(Hier zeigt sich auch eine allgemeine Schwäche der unfreien Software: Zu wenig
Transparenz und Möglichkeiten das selbst nachzuprüfen. Natürlich ist
Freie Software nicht einfach magisch sicherer.)
Die FSFE hat dazu gerade eine Pressemitteilung herausgegeben:
http://fsfe.org/news/2009/news-20091019-01.de.html
Bisher haben die Medien das noch nicht größer aufgegriffen, vielleicht wird
diese Art des Aussitzens von IT-Sicherheitsmeldungen - selbst bei einem neuen
Produkt - auch als völlig normal begriffen.
Wo ist die Stellungnahme von Microsoft zu der BSI-Meldung?
Werden die Medien Windows 7 loben, oder auch gleich warnen?
Gruß,
Bernhard
--
FSFE -- Stellv. Deutschlandkoordinator (fsfe.org)
Ihre Spende ermöglicht unsere Arbeit: www.fsfe.org/help/donate.de.html
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 198 bytes
Beschreibung: This is a digitally signed message part.
URL : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20091020/8274ecc5/attachment.sig>
Mehr Informationen über die Mailingliste FSFE-de