Microsofts spätes Erwachen

Anfang des Jahres tat ich ja schon einmal meine durchaus kritische Meinung zur seligmachenden Wirkung des Patchens kund (siehe Das ewige Provisorium). Dass mich da keiner falsch versteht: ich bin ein geradezu fanatischer Patcher. Ich patche alles. Andauernd. Das bedeutet aber nicht, dass mir das Patchen ein Gefühl verlässlicher Sicherheit vermittelt.

Im Zentrum meiner Bedenken steht die Frage, wer es vorher gewusst hat. Black Hats, die eine ausnutzbare Lücke finden, melden diese doch eher selten an den Hersteller. Manche "Kind-of-grey-Hats" versuchen sich sogar im florierenden Geschäftsfeld der Erpressung (von Herstellern).

Doch die richtig tiefschwarzen Hüte haben anderes im Sinn. Wer die Lücke nicht selbst ausnutzen will, der verkauft sie. Dieser Handel läuft schon seit Jahren (und übrigens sehr viel länger, als die Zeitschriften dies berichten) und reicht vom Verkauf des Wissens bis zur "ready-to-use" Auftragsprogrammierung (Botnetz eingeschlossen) - damit auch technisch weniger versierte Kriminelle die Früchte des Wissens ernten können. Auch dazu gibt es etwas hier im Blog: Der nullte Tag oder die Wahrheit im Auge des Betrachters.

Und so kann der erleicherte Satz nach dem nächsten Patchday lauten: "Mein System stand zwar sieben Jahre lang offen, aber jetzt ist alles sicher. Ehrlich. Ganz bestimmt. So richtig sicher!" - zumindest bis zum nächsten Patchday.

Die Tatsache, dass Hersteller wie Microsoft einen monatlichen Patchday haben, macht die Sache nicht leichter. So sehr ich die Qualitätssicherung zu schätzen weiß (es gab auch Zeiten, da löste das Einspielen von Patches vor lauter Angst nervöse Zuckungen aus), die Wartezeit von bis zu einem Monat ist nicht akzeptabel.

Vielleicht sind aber meine Ansprüche an dieser Stelle auch einfach zu hoch. Manchmal dauert es halt etwas länger. So berichtet die Computerwoche über eine jüngst zugepflasterte Schwachstelle im SMB-Protokoll (Server Message Block Protokoll). Zwar kann sich die CW nicht so ganz einigen, ob die Lücke nun 2001 von Sir Dystic alias Josh Buchbinder oder 2000 vom Dildog alias Christien Rioux zuerst publiziert wurde. Tatsache ist aber, dass diese Lücke (siehe MS08-068) seit mindestens sieben Jahren bekannt ist. Es gab auch schon mehrere Patches (siehe MS06-030 bzw. MS05-011), die jedoch anscheinend nicht so ganz erfolgreich waren. Man beachte, dass das früheste von Microsoft selbst genannte Bulletin aus dem Jahre 2005 stammt.

Es bleibt dabei: patchen hilft, reicht aber nicht aus. Näheres gibt's im eingangs genannten Beitrag.

Tags für diesen Artikel: Awareness, Exploit, Hacker, IT-Sicherheit, Patch, Sicherheitslücke, Zero-Day, Zero-Day-Exploit, Zero-Day-Vulnerability

< Voriger Eintrag | Nächster Eintrag >

Trackbacks

Trackback für spezifische URI dieses Eintrags

Keine Trackbacks

Kommentare

Ansicht der Kommentare: (Linear | Verschachtelt)

Noch keine Kommentare

Kommentar schreiben

Name
E-Mail
Homepage
Antwort zu
Kommentar	Umschließende Sterne heben ein Wort hervor (wort), per _wort_ kann ein Wort unterstrichen werden. Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert. Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet. Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss um dieses Verfahren anzuwenden. Hier die Zeichenfolge der Spamschutz-Grafik eintragen: Pavatar/Gravatar/Favatar/MyBlogLog Autoren Bilder werden unterstützt.
	Daten merken? Bei Aktualisierung dieser Kommentare benachrichtigen