92 rindas
4.8 KiB
HTML
92 rindas
4.8 KiB
HTML
<?xml version="1.0" encoding="UTF-8" ?>
|
||
|
||
<html newsdate="2009-10-19">
|
||
<head>
|
||
<title>
|
||
Windows 7 wird mit bekannter Sicherheitslücke Veröffentlicht
|
||
</title>
|
||
</head>
|
||
<body>
|
||
|
||
<h1>Windows 7 wird mit bekannter Sicherheitslücke Veröffentlicht</h1>
|
||
<h2>FSFE: Microsofts Fahrlässigkeit verdeutlicht den Wert von Freier
|
||
Software</h2>
|
||
|
||
<p newsteaser="yes">
|
||
Das neueste Betriebssystem der Firma Microsoft, Windows 7, wird zur
|
||
Zeit mit einem möglicherweise ernsten Fehler ausgeliefert. Vor dem
|
||
weltweiten Verkaufsstart am Donnerstag veröffentlichte das deutsche
|
||
Bundesamt für Sicherheit in der Informationstechnik (BSI) eine
|
||
Warnung <a href="#foot1" id="anchor1">[1]</a> vor einer hochriskanten
|
||
Schwachstelle im SMB2-Protokoll. Sie kann über das Netzwerk ausgenutzt
|
||
werden, um einen Computer mittels eines Denial of Service
|
||
(DoS)-Angriffs lahmzulegen.
|
||
</p><p> Dieser Zwischenfall verdeutlicht, wie proprietäre Software oft ein
|
||
Sicherheitsrisiko darstellt. „Nur Microsoft kann dieses Problem
|
||
lösen. Doch die Firma hat offensichtlich seit langem ihre Augen vor
|
||
dieser Sicherheitslücke verschlossen und gehofft, dass sie ihnen am
|
||
Donnerstag den Verkaufsstart von Windows 7 nicht verderben würde“, sagt
|
||
Karsten Gerloff, Präsident der Free Software Foundation Europe (FSFE).
|
||
</p><p>
|
||
Das BSI hat sich hier an der üblichen Vorgehensweise bei der
|
||
verantwortungsbewussten Enthüllung solcher Lücken orientiert und in der
|
||
Meldung vom 6. Oktober keine Details veröffentlicht. Im Allgemeinen ist
|
||
es zwar eine gute Taktik, den Herstellern Zeit zur Behebung der
|
||
Schwachstellen zu geben, bevor sie veröffentlicht werden, allerdings
|
||
sollte das BSI in diesem Fall doch darüber nachdenken, durch die
|
||
Veröffentlichung aller Details mehr Druck auf Microsoft auszuüben. Das
|
||
Amt erklärt, die Sicherheitslücke betreffe sowohl Windows 7 als auch
|
||
Vista, jeweils in der 32- und 64-Bit-Version, sowie Windows Server
|
||
2008. Die Schwachstelle unterscheidet sich von einem früheren
|
||
SMB2-Problem, <a href="#foot2" id="anchor2">[2]</a> für das Microsoft
|
||
im September den Patch MS09-050 veröffentlichte.
|
||
</p><p>
|
||
Gerloff (FSFE) erklärt weiter: „Microsofts Software legt ihre Benutzer
|
||
in Ketten, so dass diese auch dann nicht wechseln können, wenn der
|
||
Konzern sie wissentlich einem Sicherheitsrisiko wie diesem
|
||
aussetzt. Bei Freier Software wie GNU/Linux – Software, die man
|
||
untersuchen, weitergeben und verbessern kann – gibt es mehrere
|
||
Ansprechpartner, die ein Problem lösen können. Kunden sollten
|
||
Microsofts fahrlässiges Verhalten nicht unterstützen, indem sie
|
||
Produkte dieser Firma kaufen. Freie Software bietet eine Alternative
|
||
und ist von vielen unabhängigen Anbietern erhältlich.“
|
||
</p><p>
|
||
Microsoft hat bis jetzt noch nicht auf die Meldung des BSI
|
||
geantwortet. Es gibt keinerlei Anzeichen, dass der Konzern diese
|
||
klaffende Lücke in seinem Vorzeigebetriebssystem schließen wird, bevor
|
||
Windows 7 am Donnerstag weltweit veröffentlicht wird. Selbst nach
|
||
Microsofts Patch-Day im Oktober bleibt die Schwachstelle bestehen.
|
||
</p><p>
|
||
Schon seit langem sind die Sicherheitspraktiken des Konzerns Grund zur
|
||
Sorge. Bei einem anderen jüngeren Zwischenfall <a href="#foot3"
|
||
id="anchor3">[3]</a> wusste Microsoft seit Juli 2009 über eine andere
|
||
Schwachstelle in SMB2 Bescheid. Zwar wurde das Problem Anfang August in
|
||
Windows 7 behoben, allerdings nicht in Windows Vista oder Windows
|
||
Server 2008 – bis ein unabhängiger Sicherheitsspezialist das Problem an
|
||
die Öffentlichkeit brachte. Die IT-Nachrichtenseite Heise vermutet,
|
||
dass das Problem auf einer Microsoft-internen Liste von Bugs niedriger
|
||
Priorität landete, die der Konzern geräuschlos zu beheben versucht, um
|
||
schlechte Presse zu vermeiden. <a href="#foot4" id="anchor4">[4]</a>
|
||
|
||
</p><p>
|
||
|
||
<a href="#anchor1"
|
||
id="foot1">[1]</a> <a href="https://www.cert-bund.de/advisoryshort/CB-K09-0315%20UPDATE%201">Das
|
||
deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat
|
||
eine Warnung herausgegeben</a><br />
|
||
<a href="#anchor2" id="foot2">[2]</a> <a href="http://www.microsoft.com/technet/security/advisory/975497.mspx">Microsoft Security Advisory (975497): Vulnerabilities in SMB Could Allow Remote Code Execution</a><br />
|
||
<a href="#anchor3" id="foot3">[3]</a> <a href="http://www.h-online.com/security/news/item/Microsoft-has-known-of-the-SMB2-hole-for-some-time-832175.html"> Microsoft has known of the SMB2 hole for some time </a><br />
|
||
<a href="#anchor4" id="foot3">[4]</a> <a href="http://www.heise.de/security/meldung/SMB2-Luecke-offenbar-schon-laenger-bei-Microsoft-bekannt-831618.html">SMB2-Lücke offenbar schon länger bei Microsoft bekannt</a>
|
||
</p>
|
||
|
||
|
||
</body>
|
||
<timestamp>$Date$ $Author$</timestamp>
|
||
<translator>Thomas Demmel</translator>
|
||
</html>
|
||
<!--
|
||
Local Variables: ***
|
||
mode: xml ***
|
||
End: ***
|
||
-->
|