FSFE
/
fsfe-website
29
30
Fork 85
Code Issues 62 Pull Requests 14 Wiki Activity
fsfe-website/news/2009/news-20091019-01.de.xhtml

93 lines
4.7 KiB
HTML
Raw Permalink Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

<?xml version="1.0" encoding="UTF-8" ?>
<html newsdate="2009-10-19">
<version>1</version>
<head>
<title>
Windows 7 wird mit bekannter Sicherheitslücke Veröffentlicht
</title>
</head>
<body>
<h1>Windows 7 wird mit bekannter Sicherheitslücke Veröffentlicht</h1>
<h2>FSFE: Microsofts Fahrlässigkeit verdeutlicht den Wert von Freier
Software</h2>
<p>
Das neueste Betriebssystem der Firma Microsoft, Windows 7, wird zur
Zeit mit einem möglicherweise ernsten Fehler ausgeliefert. Vor dem
weltweiten Verkaufsstart am Donnerstag veröffentlichte das deutsche
Bundesamt für Sicherheit in der Informationstechnik (BSI) eine
Warnung <a href="#foot1" id="anchor1">[1]</a> vor einer hochriskanten
Schwachstelle im SMB2-Protokoll. Sie kann über das Netzwerk ausgenutzt
werden, um einen Computer mittels eines Denial of Service
(DoS)-Angriffs lahmzulegen.
</p><p> Dieser Zwischenfall verdeutlicht, wie proprietäre Software oft ein
Sicherheitsrisiko darstellt. „Nur Microsoft kann dieses Problem
lösen. Doch die Firma hat offensichtlich seit langem ihre Augen vor
dieser Sicherheitslücke verschlossen und gehofft, dass sie ihnen am
Donnerstag den Verkaufsstart von Windows 7 nicht verderben würde“, sagt
Karsten Gerloff, Präsident der Free Software Foundation Europe (FSFE).
</p><p>
Das BSI hat sich hier an der üblichen Vorgehensweise bei der
verantwortungsbewussten Enthüllung solcher Lücken orientiert und in der
Meldung vom 6. Oktober keine Details veröffentlicht. Im Allgemeinen ist
es zwar eine gute Taktik, den Herstellern Zeit zur Behebung der
Schwachstellen zu geben, bevor sie veröffentlicht werden, allerdings
sollte das BSI in diesem Fall doch darüber nachdenken, durch die
Veröffentlichung aller Details mehr Druck auf Microsoft auszuüben. Das
Amt erklärt, die Sicherheitslücke betreffe sowohl Windows 7 als auch
Vista, jeweils in der 32- und 64-Bit-Version, sowie Windows Server
2008. Die Schwachstelle unterscheidet sich von einem früheren
SMB2-Problem, <a href="#foot2" id="anchor2">[2]</a> für das Microsoft
im September den Patch MS09-050 veröffentlichte.
</p><p>
Gerloff (FSFE) erklärt weiter: „Microsofts Software legt ihre Benutzer
in Ketten, so dass diese auch dann nicht wechseln können, wenn der
Konzern sie wissentlich einem Sicherheitsrisiko wie diesem
aussetzt. Bei Freier Software wie GNU/Linux Software, die man
untersuchen, weitergeben und verbessern kann gibt es mehrere
Ansprechpartner, die ein Problem lösen können. Kunden sollten
Microsofts fahrlässiges Verhalten nicht unterstützen, indem sie
Produkte dieser Firma kaufen. Freie Software bietet eine Alternative
und ist von vielen unabhängigen Anbietern erhältlich.“
</p><p>
Microsoft hat bis jetzt noch nicht auf die Meldung des BSI
geantwortet. Es gibt keinerlei Anzeichen, dass der Konzern diese
klaffende Lücke in seinem Vorzeigebetriebssystem schließen wird, bevor
Windows 7 am Donnerstag weltweit veröffentlicht wird. Selbst nach
Microsofts Patch-Day im Oktober bleibt die Schwachstelle bestehen.
</p><p>
Schon seit langem sind die Sicherheitspraktiken des Konzerns Grund zur
Sorge. Bei einem anderen jüngeren Zwischenfall <a href="#foot3"
id="anchor3">[3]</a> wusste Microsoft seit Juli 2009 über eine andere
Schwachstelle in SMB2 Bescheid. Zwar wurde das Problem Anfang August in
Windows 7 behoben, allerdings nicht in Windows Vista oder Windows
Server 2008 bis ein unabhängiger Sicherheitsspezialist das Problem an
die Öffentlichkeit brachte. Die IT-Nachrichtenseite Heise vermutet,
dass das Problem auf einer Microsoft-internen Liste von Bugs niedriger
Priorität landete, die der Konzern geräuschlos zu beheben versucht, um
schlechte Presse zu vermeiden. <a href="#foot4" id="anchor4">[4]</a>
</p><p>
<a href="#anchor1"
id="foot1">[1]</a> <a href="https://www.cert-bund.de/advisoryshort/CB-K09-0315%20UPDATE%201">Das
deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat
eine Warnung herausgegeben</a><br />
<a href="#anchor2" id="foot2">[2]</a> <a href="http://www.microsoft.com/technet/security/advisory/975497.mspx">Microsoft Security Advisory (975497): Vulnerabilities in SMB Could Allow Remote Code Execution</a><br />
<a href="#anchor3" id="foot3">[3]</a> <a href="http://www.h-online.com/security/news/item/Microsoft-has-known-of-the-SMB2-hole-for-some-time-832175.html"> Microsoft has known of the SMB2 hole for some time </a><br />
<a href="#anchor4" id="foot3">[4]</a> <a href="http://www.heise.de/security/meldung/SMB2-Luecke-offenbar-schon-laenger-bei-Microsoft-bekannt-831618.html">SMB2-Lücke offenbar schon länger bei Microsoft bekannt</a>
</p>
</body>
<translator>Thomas Demmel</translator>
</html>
<!--
Local Variables: ***
mode: xml ***
End: ***
-->
Reference in New Issue View Git Blame Copy Permalink