Source files of fsfe.org, pdfreaders.org, freeyourandroid.org, ilovefs.org, drm.info, and test.fsfe.org. Contribute: https://fsfe.org/contribute/web/ https://fsfe.org
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.

news-20091019-01.de.xhtml 4.8KB

12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091
  1. <?xml version="1.0" encoding="UTF-8" ?>
  2. <html newsdate="2009-10-19">
  3. <head>
  4. <title>
  5. Windows 7 wird mit bekannter Sicherheitslücke Veröffentlicht
  6. </title>
  7. </head>
  8. <body>
  9. <h1>Windows 7 wird mit bekannter Sicherheitslücke Veröffentlicht</h1>
  10. <h2>FSFE: Microsofts Fahrlässigkeit verdeutlicht den Wert von Freier
  11. Software</h2>
  12. <p newsteaser="yes">
  13. Das neueste Betriebssystem der Firma Microsoft, Windows 7, wird zur
  14. Zeit mit einem möglicherweise ernsten Fehler ausgeliefert. Vor dem
  15. weltweiten Verkaufsstart am Donnerstag veröffentlichte das deutsche
  16. Bundesamt für Sicherheit in der Informationstechnik (BSI) eine
  17. Warnung <a href="#foot1" id="anchor1">[1]</a> vor einer hochriskanten
  18. Schwachstelle im SMB2-Protokoll. Sie kann über das Netzwerk ausgenutzt
  19. werden, um einen Computer mittels eines Denial of Service
  20. (DoS)-Angriffs lahmzulegen.
  21. </p><p> Dieser Zwischenfall verdeutlicht, wie proprietäre Software oft ein
  22. Sicherheitsrisiko darstellt. „Nur Microsoft kann dieses Problem
  23. lösen. Doch die Firma hat offensichtlich seit langem ihre Augen vor
  24. dieser Sicherheitslücke verschlossen und gehofft, dass sie ihnen am
  25. Donnerstag den Verkaufsstart von Windows 7 nicht verderben würde“, sagt
  26. Karsten Gerloff, Präsident der Free Software Foundation Europe (FSFE).
  27. </p><p>
  28. Das BSI hat sich hier an der üblichen Vorgehensweise bei der
  29. verantwortungsbewussten Enthüllung solcher Lücken orientiert und in der
  30. Meldung vom 6. Oktober keine Details veröffentlicht. Im Allgemeinen ist
  31. es zwar eine gute Taktik, den Herstellern Zeit zur Behebung der
  32. Schwachstellen zu geben, bevor sie veröffentlicht werden, allerdings
  33. sollte das BSI in diesem Fall doch darüber nachdenken, durch die
  34. Veröffentlichung aller Details mehr Druck auf Microsoft auszuüben. Das
  35. Amt erklärt, die Sicherheitslücke betreffe sowohl Windows 7 als auch
  36. Vista, jeweils in der 32- und 64-Bit-Version, sowie Windows Server
  37. 2008. Die Schwachstelle unterscheidet sich von einem früheren
  38. SMB2-Problem, <a href="#foot2" id="anchor2">[2]</a> für das Microsoft
  39. im September den Patch MS09-050 veröffentlichte.
  40. </p><p>
  41. Gerloff (FSFE) erklärt weiter: „Microsofts Software legt ihre Benutzer
  42. in Ketten, so dass diese auch dann nicht wechseln können, wenn der
  43. Konzern sie wissentlich einem Sicherheitsrisiko wie diesem
  44. aussetzt. Bei Freier Software wie GNU/Linux – Software, die man
  45. untersuchen, weitergeben und verbessern kann – gibt es mehrere
  46. Ansprechpartner, die ein Problem lösen können. Kunden sollten
  47. Microsofts fahrlässiges Verhalten nicht unterstützen, indem sie
  48. Produkte dieser Firma kaufen. Freie Software bietet eine Alternative
  49. und ist von vielen unabhängigen Anbietern erhältlich.“
  50. </p><p>
  51. Microsoft hat bis jetzt noch nicht auf die Meldung des BSI
  52. geantwortet. Es gibt keinerlei Anzeichen, dass der Konzern diese
  53. klaffende Lücke in seinem Vorzeigebetriebssystem schließen wird, bevor
  54. Windows 7 am Donnerstag weltweit veröffentlicht wird. Selbst nach
  55. Microsofts Patch-Day im Oktober bleibt die Schwachstelle bestehen.
  56. </p><p>
  57. Schon seit langem sind die Sicherheitspraktiken des Konzerns Grund zur
  58. Sorge. Bei einem anderen jüngeren Zwischenfall <a href="#foot3"
  59. id="anchor3">[3]</a> wusste Microsoft seit Juli 2009 über eine andere
  60. Schwachstelle in SMB2 Bescheid. Zwar wurde das Problem Anfang August in
  61. Windows 7 behoben, allerdings nicht in Windows Vista oder Windows
  62. Server 2008 – bis ein unabhängiger Sicherheitsspezialist das Problem an
  63. die Öffentlichkeit brachte. Die IT-Nachrichtenseite Heise vermutet,
  64. dass das Problem auf einer Microsoft-internen Liste von Bugs niedriger
  65. Priorität landete, die der Konzern geräuschlos zu beheben versucht, um
  66. schlechte Presse zu vermeiden. <a href="#foot4" id="anchor4">[4]</a>
  67. </p><p>
  68. <a href="#anchor1"
  69. id="foot1">[1]</a> <a href="https://www.cert-bund.de/advisoryshort/CB-K09-0315%20UPDATE%201">Das
  70. deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat
  71. eine Warnung herausgegeben</a><br />
  72. <a href="#anchor2" id="foot2">[2]</a> <a href="http://www.microsoft.com/technet/security/advisory/975497.mspx">Microsoft Security Advisory (975497): Vulnerabilities in SMB Could Allow Remote Code Execution</a><br />
  73. <a href="#anchor3" id="foot3">[3]</a> <a href="http://www.h-online.com/security/news/item/Microsoft-has-known-of-the-SMB2-hole-for-some-time-832175.html"> Microsoft has known of the SMB2 hole for some time </a><br />
  74. <a href="#anchor4" id="foot3">[4]</a> <a href="http://www.heise.de/security/meldung/SMB2-Luecke-offenbar-schon-laenger-bei-Microsoft-bekannt-831618.html">SMB2-Lücke offenbar schon länger bei Microsoft bekannt</a>
  75. </p>
  76. </body>
  77. <timestamp>$Date$ $Author$</timestamp>
  78. <translator>Thomas Demmel</translator>
  79. </html>
  80. <!--
  81. Local Variables: ***
  82. mode: xml ***
  83. End: ***
  84. -->