---rOOts---
Senior Member
Microsofts klammheimliche Sicherheit
Microsofts klammheimliche Sicherheit
Trustworthy Computing heißt das im Januar unter der Schirmherrschaft von Bill Gates
angestrengte Vorhaben, Sicherheit bei Microsoft künftig größer zu schreiben.
Seit dem ist viel passiert: Microsoft hat im vergangenen halben Jahr mehr Patches
rausgebracht als je zuvor in einem vergleichbaren Zeitraum
-- doch die Anwender haben trotzdem nach wie vor einigen Grund, skeptisch zu sein.
Offenbar geht Microsoft immer mehr dazu über, neue (und alte) Sicherheitslücken
stillschweigend über Service- Packs zu beheben, ohne dass Anwender über
Security-Advisories darüber informiert werden.
Ein aktuelles Beispiel ist das Service Pack 3 für Windows 2000.
Klammheimlich wurden unabhängig voneinander mindestens drei Sicherheitslücken behoben,
über die Microsoft nie ein Wort verlor.
@stake brichtete in einem Advisory vom 16. August über ein Problem bei Hardlinks
-- Windows 2000 wertet unter NTFS in Hardlinks enthaltene Pfadnamen nicht richtig aus,
sodass Angreifer auf Dateien zugreifen können, ohne dass diese Zugriffe in der
Überwachungs-Funktion (Auditing) gespeichert werden.
Eine weitere heimlich gestopfte Sicherheitslücke betrifft den ActiveX-Viewer xweb.ocx,
der über einen Buffer Overflow Angreifern gestattete, beliebige Kommandos auszuführen.
Die dritte von Microsoft heimlich gestopfte Lücke schließlich betrifft den IIS bei der
Behandlung von SSL-Zertifikaten.
---rOOts---
Quelle
Microsofts klammheimliche Sicherheit
Trustworthy Computing heißt das im Januar unter der Schirmherrschaft von Bill Gates
angestrengte Vorhaben, Sicherheit bei Microsoft künftig größer zu schreiben.
Seit dem ist viel passiert: Microsoft hat im vergangenen halben Jahr mehr Patches
rausgebracht als je zuvor in einem vergleichbaren Zeitraum
-- doch die Anwender haben trotzdem nach wie vor einigen Grund, skeptisch zu sein.
Offenbar geht Microsoft immer mehr dazu über, neue (und alte) Sicherheitslücken
stillschweigend über Service- Packs zu beheben, ohne dass Anwender über
Security-Advisories darüber informiert werden.
Ein aktuelles Beispiel ist das Service Pack 3 für Windows 2000.
Klammheimlich wurden unabhängig voneinander mindestens drei Sicherheitslücken behoben,
über die Microsoft nie ein Wort verlor.
@stake brichtete in einem Advisory vom 16. August über ein Problem bei Hardlinks
-- Windows 2000 wertet unter NTFS in Hardlinks enthaltene Pfadnamen nicht richtig aus,
sodass Angreifer auf Dateien zugreifen können, ohne dass diese Zugriffe in der
Überwachungs-Funktion (Auditing) gespeichert werden.
Eine weitere heimlich gestopfte Sicherheitslücke betrifft den ActiveX-Viewer xweb.ocx,
der über einen Buffer Overflow Angreifern gestattete, beliebige Kommandos auszuführen.
Die dritte von Microsoft heimlich gestopfte Lücke schließlich betrifft den IIS bei der
Behandlung von SSL-Zertifikaten.
---rOOts---
Quelle