[FSFE PR][DE] Windows 7 wird mit bekannter Sicherheitslücke veröffentlicht

Free Software Foundation Europe press at germany.fsfeurope.org
Di Okt 20 14:55:37 CEST 2009 

= Windows 7 wird mit bekannter Sicherheitslücke veröffentlicht =

FSFE: Microsofts Fahrlässigkeit verdeutlicht den Wert von Freier Software

[Permanente URL: http://www.fsfe.org/news/2009/news-20091019-01.de.html ]

19. Oktober 2009, 13:30 CEST, Berlin, Deutschland

  Das neueste Betriebssystem der Firma Microsoft, Windows 7, wird zur
  Zeit mit einem möglicherweise ernsten Fehler ausgeliefert. Vor dem
  weltweiten Verkaufsstart am Donnerstag veröffentlichte das deutsche
  Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Warnung
  [1] vor einer hochriskanten Schwachstelle im SMB2-Protokoll. Sie kann
  über das Netzwerk ausgenutzt werden, um einen Computer mittels eines
  Denial of Service (DoS)-Angriffs lahmzulegen. 

Dieser Zwischenfall verdeutlicht, wie proprietäre Software oft ein
Sicherheitsrisiko darstellt. „Nur Microsoft kann dieses Problem lösen.
Doch die Firma hat offensichtlich seit langem ihre Augen vor dieser
Sicherheitslücke verschlossen und gehofft, dass sie ihnen am Donnerstag
den Verkaufsstart von Windows 7 nicht verderben würde“, sagt Karsten
Gerloff, Präsident der Free Software Foundation Europe (FSFE). 

Das BSI hat sich hier an der üblichen Vorgehensweise bei der
verantwortungsbewussten Enthüllung solcher Lücken orientiert und in der
Meldung vom 6. Oktober keine Details veröffentlicht. Im Allgemeinen ist
es zwar eine gute Taktik, den Herstellern Zeit zur Behebung der
Schwachstellen zu geben, bevor sie veröffentlicht werden, allerdings
sollte das BSI in diesem Fall doch darüber nachdenken, durch die
Veröffentlichung aller Details mehr Druck auf Microsoft auszuüben. Das
Amt erklärt, die Sicherheitslücke betreffe sowohl Windows 7 als auch
Vista, jeweils in der 32- und 64-Bit-Version, sowie Windows Server 2008.
Die Schwachstelle unterscheidet sich von einem früheren SMB2-Problem,
[2] für das Microsoft im September den Patch MS09-050 veröffentlichte. 

Gerloff (FSFE) erklärt weiter: „Microsofts Software legt ihre Benutzer
in Ketten, so dass diese auch dann nicht wechseln können, wenn der
Konzern sie wissentlich einem Sicherheitsrisiko wie diesem aussetzt. Bei
Freier Software wie GNU/Linux – Software, die man untersuchen,
weitergeben und verbessern kann – gibt es mehrere Ansprechpartner, die
ein Problem lösen können. Kunden sollten Microsofts fahrlässiges
Verhalten nicht unterstützen, indem sie Produkte dieser Firma kaufen.
Freie Software bietet eine Alternative und ist von vielen unabhängigen
Anbietern erhältlich.“ 

Microsoft hat bis jetzt noch nicht auf die Meldung des BSI geantwortet.
Es gibt keinerlei Anzeichen, dass der Konzern diese klaffende Lücke in
seinem Vorzeigebetriebssystem schließen wird, bevor Windows 7 am
Donnerstag weltweit veröffentlicht wird. Selbst nach Microsofts
Patch-Day im Oktober bleibt die Schwachstelle bestehen. 

Schon seit langem sind die Sicherheitspraktiken des Konzerns Grund zur
Sorge.  Bei einem anderen jüngeren Zwischenfall [3] wusste Microsoft
seit Juli 2009 über eine andere Schwachstelle in SMB2 Bescheid. Zwar
wurde das Problem Anfang August in Windows 7 behoben, allerdings nicht
in Windows Vista oder Windows Server 2008 – bis ein unabhängiger
Sicherheitsspezialist das Problem an die Öffentlichkeit brachte. Die
IT-Nachrichtenseite Heise vermutet, dass das Problem auf einer
Microsoft-internen Liste von Bugs niedriger Priorität landete, die der
Konzern geräuschlos zu beheben versucht, um schlechte Presse zu
vermeiden. [4] 

[1] https://www.cert-bund.de/advisoryshort/CB-K09-0315%20UPDATE%201
[2] http://www.microsoft.com/technet/security/advisory/975497.mspx
[3] http://www.h-online.com/security/news/item/Microsoft-has-known-of-the-SMB2-hole-for-some-time-832175.html
[4] http://www.heise.de/security/meldung/SMB2-Luecke-offenbar-schon-laenger-bei-Microsoft-bekannt-831618.html

== Über die Free Software Foundation Europe ==

  Die Free Software Foundation Europe (FSFE) ist eine gemeinnützige,
  regierungsunabhängige Organisation, die in vielen Ländern Europas
  aktiv und in vielen globalen Aktionen involviert ist. Der Zugang zu
  Software entscheidet über die Teilhabe an der digitalen Gesellschaft.
  Um Chancengleichheit im Informationszeitalter und die Freiheit des
  Wettbewerbs sicherzustellen, widmet sich die Free Software Foundation
  Europe (FSFE) der Förderung Freier Software, welche dadurch definiert
  wird, dass sie von jedem Menschen uneingeschränkt benutzt, untersucht,
  verändert und weitergegeben werden kann.  Dies ins öffentliche
  Bewusstsein zu rücken und der Freien Software politische und
  rechtliche Sicherheit zu verschaffen, sind die wichtigsten Ziele der
  FSFE, die 2001 gegründet wurde.

  Weitere Informationen über die Arbeit der FSFE finden Sie auf
  http://fsfe.org/

== Kontakt ==

  Karsten Gerloff
  Präsident
  Free Software Foundation Europe
  E-Mail: press at fsfeurope.org
  Mobil: +49-176-96904298