Microsofts klammheimliche Sicherheit

Trustworthy Computing heißt das im Januar unter der Schirmherrschaft von Bill Gates
angestrengte Vorhaben, Sicherheit bei Microsoft künftig größer zu schreiben.
Seit dem ist viel passiert: Microsoft hat im vergangenen halben Jahr mehr Patches
rausgebracht als je zuvor in einem vergleichbaren Zeitraum
-- doch die Anwender haben trotzdem nach wie vor einigen Grund, skeptisch zu sein.
Offenbar geht Microsoft immer mehr dazu über, neue (und alte) Sicherheitslücken
stillschweigend über Service- Packs zu beheben, ohne dass Anwender über
Security-Advisories darüber informiert werden.
Ein aktuelles Beispiel ist das Service Pack 3 für Windows 2000.
Klammheimlich wurden unabhängig voneinander mindestens drei Sicherheitslücken behoben,
über die Microsoft nie ein Wort verlor.
@stake brichtete in einem Advisory vom 16. August über ein Problem bei Hardlinks
-- Windows 2000 wertet unter NTFS in Hardlinks enthaltene Pfadnamen nicht richtig aus,
sodass Angreifer auf Dateien zugreifen können, ohne dass diese Zugriffe in der
Überwachungs-Funktion (Auditing) gespeichert werden.
Eine weitere heimlich gestopfte Sicherheitslücke betrifft den ActiveX-Viewer xweb.ocx,
der über einen Buffer Overflow Angreifern gestattete, beliebige Kommandos auszuführen.
Die dritte von Microsoft heimlich gestopfte Lücke schließlich betrifft den IIS bei der
Behandlung von SSL-Zertifikaten.

---rOOts---

Quelle