Microsoft ignoriert deutsche Sicherheitsstelle (ist: Windows 7, (vermutlich) kaputt in der Packung und Keinen interessierts?)

Bernhard Reiter reiter at fsfeurope.org
Fr Okt 23 08:30:23 UTC 2009 

Am Donnerstag, 22. Oktober 2009 14:45:53 schrieb Volker Grabsch:
> > Hier nimmt eine Hersteller zu einem "hohen" Sicherheitsrisiko
> > in einem neuen Produkt, was er verkaufen möchte, nicht einmal Stellung.
> > Das halte ich für etwas Besonderes!
>
> Einen DoS auf Privatrechner, in der nur im lokalen Netzwerk ausgelöst
> werden kann, wenn auf dem Zielrechner die Firewall abgeschaltet ist
> ... das würde ich nicht als "hohes" Sicherheitsrisiko bezeichnen.
>
> Oder habe ich da etwas übersehen?

Der Cert-Bund vom BSI betrieben, 
ordnet das Risko innerhalb von fünf Stufen ein:
(5 - sehr hoch  |  4 - hoch  |  3 - mittel  
|  2 - niedrig  |  1 - sehr niedrig) 

Und die kommen da auf "4 - hoch" in
https://www.cert-bund.de/advisoryshort/CB-K09-0315%20UPDATE%201

Da das BSI wohl eine "responsible disclosure" betreibt fehlen uns weitere 
Details, um die Höhe des Risikos selbst bewerten zu können. Deshalb hat die 
FSFE ja auch das BSI Aufgerufen, in diesem Falle mal davon abzuweichen.
Oft ist übrigens wahrscheinlich, dass aus einem "Abschiessen" auch eine 
Möglichkeit zur Befehlsausführung wird. Weiterhin nehme ich an, dass viele 
Anwender, gerade um Drucker und Dateiinformationen auszutauschen den Port 
halt auch offen haben. Ich meine, damit der Dienst wirklich funktionieren 
kann, muss der Port halt auch von anderen Rechenern erreichbar sein.

Sprich: Wir können es nicht abschliessend bewerten, sondern uns nur auf das 
BSI verlassen. Aber das Microsoft mehr als 2 Wochen zu einer seriösen 
Sicherheitsmeldung einer offiziellen deutschen Stelle schweigt, gerade vor 
dem Produktstart, finde ich schon bemerkenswert. Wenn nichts dran wäre,
warum sagen die das dem BSI und der Öffentlichkeit nicht gleich?

Gruß,
Bernhard
-- 
FSFE -- Stellv. Deutschlandkoordinator           (fsfe.org)
Ihre Spende ermöglicht unsere Arbeit:  www.fsfe.org/help/donate.de.html
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 198 bytes
Beschreibung: This is a digitally signed message part.
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20091023/18e848f5/attachment.sig>

Mehr Informationen über die Mailingliste FSFE-de