|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
 |
|
|
|
|
|
|
|
hier die posts auf der mailingliste full-disclosure zu den zwei sicherheitsluecken:
ASN.1 Heap Corruption, die erste
ASN.1 Heap Corruptiion, die zweite
und noch ein bisschen mehr von eEye selber, die links zu den advisories befinden sich direkt auf der frontpage. eEye ist die bude, welche die luecken entdeckt hat dies nach eigenen aussagen vor ueber vier (4!) monaten ...
die erste luecke sei m$ seit dem 25. September 2003 bekannt, die zweite sogar seit dem 25. Juli, 2003.
im windows schlummerte also seit geraumer zeit eine remote root exploit, m$ wusste davon, hat es aber bis zur bekanntgabe von eEye nicht fuer noetig befunden, einen patch rauszugeben, geschweige denn, die anwender auf die sicherheitsluecken aufmerksam zu machen.
Seuli
--
O'Toole's law: Murphy was an optimist.
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 12. February, 11:07 MET (#2)
|
|
|
|
|
Afair war es doch so, dass eEye das advisory erst rausgab, nachdem MS die Patches freigegeben hat, weil dieses Loch so kritisch ist.
Ueber die 4 Monate zwischen Erkennung und Fix muss allerdings nicht gesprochen werden *sigh
gruss
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Das ist genau der Punkt. Eigentlich will man das "Window of Opportunity", das zwischen Entdeckung und Patch steht möglichst gering halten. Zwischen Entdeckung und Patch sind nun irgendwo in arbiträrer Reihenfolge Exploit und Publikation drin. Worst case ist ein sehr früher Exploit und eine sehr späte Publikation; insofern ist eine Publikation mit Exploit schon das "geringere" Übel.
Wenn nun ein Problem nicht durch den Benutzer behebbar ist (d.h. bei vielen closed-source Problemen) und eine Firma offensichtlich dermassen schlampt wie Microsoft und das Problem ignoriert, dann wird es Zeit Druck aufzusetzen, mit einer Publikation, eventuell auch samt Exploit dazu. Weil es nicht ausgeschlossen werden kann dass jemand anders das Loch auch noch findet -- und es nicht publiziert aber stattdessen einen Exploit produziert. Und das ist dann der Gipfel der Peinlichkeit "Wir wussten es, haben es aber nicht Publiziert (und der Hersteller hat geschlampt und bisher keinen Patch geliefert), und währenddessen hat jemand anders einen Exploit geschrieben und auf die Welt losgelassen..."
Ein weiterer Punkt warum ein Exploit nützlich sein kann, ist dass Sysadmins verifizieren können ob sie wirklich vulnerable sind. Manchmal ist das nämlich nicht der Fall, weil z.b. auf einer anderen Architektur das Problem nicht auftaucht; oder umgekehrterweise die Meinung ist dass es nicht auftauchen würde, es aber trotzdem tut.
Full Disclosure ist die "Open Source" (oder wissenschaftliche) Variante mit Sicherheitsproblemen umzugehen; das andere ist reine Bevormundung ("Nein, Sie verstehen da soweiso nichts davon, also dürfen Sie es auch nicht wissen"). Man spricht der generell allen Leuten als denen des Herstellers selber jegliche Kompetenz in Sicherheitsfragen ab; verhindert jeglichen Diskurs darüber und unterstellt anderen Leuten (und den eigenen Kunden!) dass sie Kriminelle seien.
In diesem Zusammenhang gibt es in der Schweiz auf diesen unsäglichen Artikel im Strafgesetzbuch, Datenbeschädigung, 144bis, Zif 2:
2. Wer Programme, von denen er weiss oder annehmen muss, dass sie zu den in Ziffer 1 genannten Zwecken verwendet werden sollen, herstellt, einführt, in Verkehr bringt, anpreist, anbietet oder sonstwie zugänglich macht oder zu ihrer Herstellung Anleitung gibt, wird mit Gefängnis oder mit Busse bestraft.
Was nichts anderes bedeutet als dass jeder Sysadmin der seine Arbeit ernst nimmt und einen wissenschaftlichen Ansatz (peer review et.al.) verfolgt sich strafbar macht.
--
"The more prohibitions there are, The poorer the people will be"
-- Lao Tse
|
|
|
|
|
|
|
|
|
|
|
|
|
bei unserer gesetzgebung muss man sich schon manchmal fragen was sie sich dabei gedacht haben, oder von wem sie geschmiert wurden
|
|
|
|
|
|
|
|
|
|
|
|
|
|
bei unserer gesetzgebung muss man sich schon manchmal fragen was sie sich dabei gedacht haben
Gedacht? "Jemand macht Schaden, stoppen wir ihn. Es hat Tausende, aber die brauchen Werkzeug von wenigen, beseitigen wir die".
Schau dir den typischen gewaehlt gewordenen (und damit Gesetze machen koennenden) Politiker an. Seine noetigsten Faehigkeiten sind:
- genug Dominanzstreben das er sich mehr als alle anderen einsetzt, nach oben zu kommen (also keine Zeit fuer Mitgefuehl, sich in etwas einarbeiten, Bildung, Skrupel, oder andere schwaechende Hindernisse)
- genug Faehigkeit andere zu beschwatzen das er ihre Interessen vertritt (also wenig Ehrilichkeit oder Denkfaehigkeit). Also brauchts nur gerade genug Intelligenz um den durchschnittlichen Waehler zu beeindrucken.
Da der durchschnittliche Waehler regelmaessig den Intelligenzstand eines getretenen Hundes demonstriert ("es macht Angst, pruegle es nieder"), ist das nicht viel. Resultat ist das typische "wir muessen was machen" Verhalten, egal ob das "etwas" nur in den Fuss schiessen ist.
Die seltenen Leute die nachdenken, und sich fragen was wirklich sinnvoll ist, zaehlen nicht, weil zuwenige. Die koennen nur sich regelmaessig ueber die Idiot aergen, die die Welt kaputt machen.
oder von wem sie geschmiert wurden
Ueberfluessig. Politiker machen Mist auch ohne das jemand sie dafuer bezahlt. Halbdumme die Ganzdumme beeindrucken wollen reicht als Motiv.
--
hardware runs the world, software controls the hardware,
code generates the software, have you coded today
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Oh Mann. Wenn dir die Regelung nicht gefällt, dann schreib das einfach. Am besten gleich ans Symlink Team. Eventuell auch als Story-Einsendung (z.B. Slashcode/Kolumne: Ist der Idiotenfilter wirklich nötig?).
Wenn du es hingegen vorziehst, die Regelung (und mich) lächerlich zu machen, änderst du nichts an der Regelung, aber sehr wohl etwas an deiner Glaubwürdigkeit.
Und um noch mal auf die Regelung zurückzukommen: Ebensolche Kommentare, die nur "Full ACK" zum Inhalt haben, sind hier nicht gern gesehen, weil sie nichts zur Diskussion beitragen. Niemand interessiert sich dafür, ob du gleicher Meinung bist. Hingegen könnte es jemanden interessieren, warum du gleicher Meinung bist. Um das zu umschreiben, braucht es aber schon einen etwas ausführlicheren Kommentar.
--
Linux ist eine Turboprop. HURD ist ein Düsenjetprototyp, der seinen Heimatflughafen nie verlassen hat.
|
|
|
|
|
|
|
|
|
|
|
|
|
ob wir jetzt gefährdet sind und was wir machen müssten?
Das sei doch schlimmer als der Toom-Virus [Verwechselung vom Toom-Baumarkt und myDoom!]..
Dann musste ich Ihr erklärenm, dass das ca. alle 4-6 Wochen bei Microsoft vorkommt und nur jetzt so "heiß" darüber berichtet wird. Sie soll einen anderen Browser(Mozilla) verwenden wenn sie unbedingt surfen will und nicht nur Onlinebanking macht.
--
eat my .sig!
|
|
|
|
|
|
|
|
|
|
|
|
|
hoehm ... falls ich das advisory richtig verstanden habe, hat der letzte bug nichts mit dem browser zu tun, sondern mit der asn library, welche unter anderem auch die ssl zertifikate bearbeitet. da kannst du jeden browser der welt auf windows gebrauchen, die greifen schlussendlich doch wieder auf diese lib zurueck :-)
Seuli
--
O'Toole's law: Murphy was an optimist.
|
|
|
|
|
|
|
|
|
|
|
|
|
OpenSSL hatte genau auch eine Luecke im ASN.1 parsing.
|
|
|
|
|
|
|
|
|
|
Von termcap
(termcap---AT---linuxmail----dot----organisation)
am Thursday 12. February, 13:05 MET (#4)
(User #1481 Info)
|
|
|
|
|
wer windows einsetzt ist absolut selber schuld. es gibt so gute alternativen wie SUN Solaris und GNU/Linux. Windows ist duchlöchert wie ein Käse von Bugs.
Es ist einfach nur peinlich ein Windows zu nutzen.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Hm, ich find deine Aussage peinlicher.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 12. February, 15:40 MET (#10)
|
|
|
|
|
gut, sun solaris ist nicht wirklich eine moderne alternative... was findest du denn sonst so peinlich an seiner aussage?
windows usen ist furchtbar peinlich, wenn man meint, etwas von pcs zu verstehen. auch da gibt es gute rechtfertigungen, z.b. games oder soundprogramme. was aber alles andere angeht bin ich auf argumente gespannt...
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Windows user begreifen das eben nicht.
Sie versuchen mit einem alten, rostigen Fiat die Antaktis zu überqueren und wunder sich, dass es nich t funktioniert.
Also ich bin auch der meinung Windows braucht ist selber schult.
Als alternative würde ich an erster stelle Linux aufführen, da dies wesenlich Sicherer, Stablier und Moderner ist und man erhält professionellen und gratis community support.
In vielen Bereichen ist auch die software vielfalt grösser und es stehen ausgereifte und flexible Programme zu verfügung.
By the way: Selbst im Gamebereich gibt es immer mehr angebote. Meist noch mit ein paar Monaten verzögerung, aber dafür kann man auf einer stablen Platform gamen mit deutlich bessere HW ausnutzung im Perfomance bereich.
(* Windows user sind Masochisten *)
|
|
|
|
|
|
|
|
|
|
|
|
|
Es könnte ja sein dass dir jemand den BS den du rauslässt, abkauft.
Was ich gerne noch von dir erklärt haben würde:
Inwiefern ist Windows (2000-XP) ein alter, rostiger Fiat? Bring bitte mal technische Argumente und nicht dämliche Vergleiche.
An was genau sind windows user selber schuld? Du glaubst nur die erleuchteten Linux User erreichen ihre Ziele (sprich, erledigen Arbeit)?
"Professionellen und gratis community support".
Dir hats ja wirklich ins Hirn geregnet.
"ausgereifte und flexible Programme" hast Du auch auf Windows.
Und dann der Gaming scheiss:
Vergleich mal OpenGL 1.4 mit DirectX 9. Schau, für was die heutige Grafik Hardware ausgelegt ist, und such mir jemanden, der sich über die stabilität von win 2000/XP beschwert. (Oh, und inwiefern sprechen wir von "besserer HW Ausnutzung" wenn es firmen gibt, die einen D3D->OGL Wrapper schreiben?)
Vielleicht solltest Du einfach aufhören, dein Selbstwertgefühl auf der Tatsache aufbauen, dass Du Linux User bist.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Inwiefern ist Windows (2000-XP) ein alter, rostiger Fiat? Bring bitte mal technische Argumente und nicht dämliche Vergleiche.
Im Bewusstsein, dass die
mein OS ist besser als deines-Diskussion
immer das Risiko in sich trägt, auf dem
Niveau des Heise-Forums zu landen, hier
trotzdem ein ernst gemeinter Versuch.
Die technischen Möglichkeiten
von Win2K (und 2K3 und XP) sind zum
Beispiel beim Rechte-System einem Linux
ohne ACLs überlegen, einem Linux mit
ACLs etwa ebenbürtig. Der rostige Fiat
ist wirklich kein glücklicher Vergleich.
Aber: In der Praxis verwenden
praktisch alle Windows-Home-User einen
Account mit Administrator-Rechten
für die tägliche Arbeit. Praktisch
alle Linux-User (ausser Lindows-User)
verwenden einen Non-Root-Account
für die tägliche Arbeit.
Auch
gibt es viele Windows-Programme,
die nicht zu benutzen sind, wenn
man nicht Administrator-Rechte hat.
Konkret: Kürzlich war in der ct
was wegen der Lizenzverwaltung vom neuen
Photoshop et.al., die einen nur
mit Admin-Rechten arbeiten
lassen. Das darf doch nicht wahr sein!
Die Problematik Theorie vs. Praxis
wurde im Rahmen des
Editorials
der vorletzten ct noch viel besser beschrieben,
als ich das hier könnte
Vielleicht solltest Du einfach aufhören, dein Selbstwertgefühl auf der Tatsache aufbauen, dass Du Linux User bist.
Das ist ein ganz anderes Problem. C'est le
ton qui fait la musique.
Und jetzt noch die Security-Gebetsmühle
(steter Tropfen höhlt den Stein...):
- Keine unnötigen Services anbieten! (Weniger ist mehr)
- Keine Programme aus unsicherer Quelle
laufen lassen. Dazu gehören insbesondere Active-X,
Java, Javascript, Flash, Macros in Office-Doks,
HTML-Mails, ... (Trau, schau wem!)
- Nie als Admin surfen, bzw admininstrative
Arbeit von täglicher Arbeit trennen (Least privilege)
maNic
|
|
|
|
|
|
