Microsoft ignoriert deutsche Sicherheitsstelle (ist: Windows 7, (vermutlich) kaputt in der Packung und Keinen interessierts?)
Bernhard Reiter
reiter at fsfeurope.org
Fr Okt 23 08:30:23 UTC 2009
Am Donnerstag, 22. Oktober 2009 14:45:53 schrieb Volker Grabsch:
> > Hier nimmt eine Hersteller zu einem "hohen" Sicherheitsrisiko
> > in einem neuen Produkt, was er verkaufen möchte, nicht einmal Stellung.
> > Das halte ich für etwas Besonderes!
>
> Einen DoS auf Privatrechner, in der nur im lokalen Netzwerk ausgelöst
> werden kann, wenn auf dem Zielrechner die Firewall abgeschaltet ist
> ... das würde ich nicht als "hohes" Sicherheitsrisiko bezeichnen.
>
> Oder habe ich da etwas übersehen?
Der Cert-Bund vom BSI betrieben,
ordnet das Risko innerhalb von fünf Stufen ein:
(5 - sehr hoch | 4 - hoch | 3 - mittel
| 2 - niedrig | 1 - sehr niedrig)
Und die kommen da auf "4 - hoch" in
https://www.cert-bund.de/advisoryshort/CB-K09-0315%20UPDATE%201
Da das BSI wohl eine "responsible disclosure" betreibt fehlen uns weitere
Details, um die Höhe des Risikos selbst bewerten zu können. Deshalb hat die
FSFE ja auch das BSI Aufgerufen, in diesem Falle mal davon abzuweichen.
Oft ist übrigens wahrscheinlich, dass aus einem "Abschiessen" auch eine
Möglichkeit zur Befehlsausführung wird. Weiterhin nehme ich an, dass viele
Anwender, gerade um Drucker und Dateiinformationen auszutauschen den Port
halt auch offen haben. Ich meine, damit der Dienst wirklich funktionieren
kann, muss der Port halt auch von anderen Rechenern erreichbar sein.
Sprich: Wir können es nicht abschliessend bewerten, sondern uns nur auf das
BSI verlassen. Aber das Microsoft mehr als 2 Wochen zu einer seriösen
Sicherheitsmeldung einer offiziellen deutschen Stelle schweigt, gerade vor
dem Produktstart, finde ich schon bemerkenswert. Wenn nichts dran wäre,
warum sagen die das dem BSI und der Öffentlichkeit nicht gleich?
Gruß,
Bernhard
--
FSFE -- Stellv. Deutschlandkoordinator (fsfe.org)
Ihre Spende ermöglicht unsere Arbeit: www.fsfe.org/help/donate.de.html
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 198 bytes
Beschreibung: This is a digitally signed message part.
URL : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20091023/18e848f5/attachment.sig>
Mehr Informationen über die Mailingliste FSFE-de