Klick! (http://www.heise.de/newsticker/meldung/Microsoft-flickt-kritische-Internet-Explorer-Luecke-1711931.html)

Was meint ihr, bis die nächste kommt?

Mir fällt es immer wieder schwer, nachzuvollziehen, warum Software, wenn sie entwickelt wird, immer Sicherheitslücken haben wird.

Klar, es gibt Argumente hierfür:

- Zeitknappheit für die Entwicklung
- Neue Entwicklungen in den Bereichen: OS und SST
- Neue Methoden

Aber:
Ein Grundverständnis von "Sicherheit" sollte doch immer vorhanden und auch berücksichtigt werden, oder!?

Was meint ihr?

Klick! (http://www.heise.de/newsticker/meldung/Microsoft-flickt-kritische-Internet-Explorer-Luecke-1711931.html)

Was meint ihr, bis die nächste kommt?

Mir fällt es immer wieder schwer, nachzuvollziehen, warum Software, wenn sie entwickelt wird, immer Sicherheitslücken haben wird.




Was mir bei dieser Lücke so durch den Kopf gegangen ist. Die Lücke scheint ja auch ganz alte IEs (IE6) und alle möglichen Windows Systeme zu betreffen. Demnach muss die Lücke seit etlichen Jahren schon bestehen. Ein Fehler von diesem Kalieber.

Mir fällt es immer wieder schwer, nachzuvollziehen, warum Software, wenn sie entwickelt wird, immer Sicherheitslücken haben wird.



So lange sie von MS kommt - immer. MS erfindet Sicherheit per Marketing (weil billiger) anstatt durch harte Arbeit.

Ein Grundverständnis von "Sicherheit" sollte doch immer vorhanden und auch berücksichtigt werden, oder!?Wird es ja auch. Du musst dir aber auch mal anschauen was für Verrenkungen man oft machen muss, um durch den Fehler auch den Rechner zu infizieren und nicht nur den Browser abstürzen zu lassen.
Was mir bei dieser Lücke so durch den Kopf gegangen ist. Die Lücke scheint ja auch ganz alte IEs (IE6) und alle möglichen Windows Systeme zu betreffen. Demnach muss die Lücke seit etlichen Jahren schon bestehen. Ein Fehler von diesem Kalieber.Solche Fehler gab und gibt es zu hunderten in allen Browsern und Betriebssystemen. Das sie jahrelang vorhanden sind ist die Regel. MS hat halt Pech gehabt, dass sie gleich intensiv ausgenutzt wurde.
So lange sie von MS kommt - immer. MS erfindet Sicherheit per Marketing (weil billiger) anstatt durch harte Arbeit.Microsoft Software wird auf einem Windowsrechner die wahrscheinlich sicherste Software sein. Wenn man hart genug sucht findet man immer was.

Solche Fehler gab und gibt es zu hunderten in allen Browsern und Betriebssystemen. Das sie jahrelang vorhanden sind ist die Regel. MS hat halt Pech gehabt, dass sie gleich intensiv ausgenutzt wurde.


Das sehe ich komplett anders. Natürlich ist die Software generell fehlerbehaftet.
Aber die Praxis zeigt, dass MS Systeme mit großen Abstand betroffen sind.
Das mit Abstand höchste Risiko geht der Benutzer mit MS Systemen ein. Da spielt es überhaupt keine Rolle mit einer Verbreitung zu argumentieren.
Ich denke das Problem ist systemisch. Solch ein Produkt wie Windows ist von Haus aus dreist konzipiert. Wenn es nicht geht und ich denke dieser Zustand ist schon lange erreicht, dann kann man ein Produkt dieser Art nicht auf den Markt bringen.
Dann ist halt Kompatibilität zu Altsoftware um jeden Preis, Closed Source um jeden Preis, undurchsichtiges Sicherheits- und Fehlermanagement, beliebige Softwarequellen, oder das freie Ressourcenmanagement der Anwendungen und Monokulturismus einfach nicht möglich.

Linux und Applesysteme werden genauso zerlegt und dürften dann auch nicht auf dem Markt sein.
Wenn du es ziemlich sicher willst dann kannst du zu einer Konsole greifen. Da ist Sicherheit und Einschränkung absolut ins Konzept von Hard und Software eingearbeitet. Noch deutlich mehr als bei Smartphones mit eingeschränktem Appstore.

Also, ... es hat sehr wohl mit der Verbreitung zu tun nur kommt hier viel mehr dazu..

Je mehr verbreitet desto interessanter
Je mehr auf den Endanwender desto mehr Features werden integriert
Je mehr desto mehr 3rd Party kram (ich hatte mit Windows 95, 98 und ME nie, wirklich, ungelogen, nie einen BSOD, ich habe aber auch maximal 3-4 Sachen darauf gehabt).

NT war früher in Sachen Sicherheit ne ganz andere Liga wie die WinX Systeme. Heute nutzt sozusagen wieder jeder das NT System und je mehr desto mehr gilt hier.

Apple galt lange als Bastion, jetzt wo jeder Kunz Äpfele nutzt wird es auch hier interessant. Linux wird auch nen Sicherheitsmangeboom bekommen sobald es immer mehr Verbreitung auf SmartTVs und Co. findet. Wäre Windows in eta so verbreitet wie MacOS dann müsste man auch nach solchen Meldungen suchen.

Dass da Zeit mitunter ne große Rolle speilt streite ich aber nicht ab.

MS hat kritische IE-lücke geflickt...

windows ist ein produktivsystem und kein beschränktes os x oder ubuntu.
jedes produktivsystem ist anfällig bzgl. sicherheitslücken... dafür kannst du aber alles machen und jeder kann für dieses system entwickeln.

du kannst unter windows:
firefox , chrome , opera verwenden und wenn dir das nicht langt dann starte sie in einer sandbox.

So eine Panikmache wieder. 0-day Exploits für die es Zeitnah ein Fix gibt, dafür sollte Microsoft gelobt werden.

Ich will garnicht wissen welche Sicherheitsheitslücken mein Firefox alles hat.

Und wartet mal, wenn Hacker mehr Geschmack an einem Apfel gefunden haben. Ich möchte gar nicht, was dann los ist.

Microsoft hat auf ihrem Campus ein komplettes Gebäude, das nur Security-Audits macht. Es ist nicht so, dass da kein Bewusstsein vorhanden wäre.

Für die Angriffsfläche die Windows bietet gibt's eigentlich verhältnismäßig wenig Probleme. Ich will gar nicht wissen was passieren würde, wenn Mac OS X so attraktiv als Ziel wäre. WebKit ist auch ein riesiger Flickenhaufen, was die Sicherheit angeht. Das lässt sich bei solchen Mengen an C++-Code gar nicht vermeiden.

Chrome tut das einzig Richtige. In einen Sandbox-Sack damit und den möglichst dicht bekommen.

Das sehe ich komplett anders. Natürlich ist die Software generell fehlerbehaftet.
Aber die Praxis zeigt, dass MS Systeme mit großen Abstand betroffen sind.
Das mit Abstand höchste Risiko geht der Benutzer mit MS Systemen ein. Da spielt es überhaupt keine Rolle mit einer Verbreitung zu argumentieren.
Ich denke das Problem ist systemisch. Solch ein Produkt wie Windows ist von Haus aus dreist konzipiert. Wenn es nicht geht und ich denke dieser Zustand ist schon lange erreicht, dann kann man ein Produkt dieser Art nicht auf den Markt bringen.
Dann ist halt Kompatibilität zu Altsoftware um jeden Preis, Closed Source um jeden Preis, undurchsichtiges Sicherheits- und Fehlermanagement, beliebige Softwarequellen, oder das freie Ressourcenmanagement der Anwendungen und Monokulturismus einfach nicht möglich.
Sorry Avalox, aber das ist kompletter Unsinn.

Microsoft hat sogar ihren HyperV-Hypervisor komplett mathematisch validiert und hat dafür 100 Leute 6 Monate daran arbeiten lassen. Niemand sonst tut so etwas. Das Ding ist fehlerfrei.

Ich bin fest davon überzeugt, dass Apples Zeug weitaus anfälliger ist.

Allein das neue iOS 6 hat fast 200 Sicherheitslücken behoben. Und das ist mit Sicherheit deutlich weniger komplex als ein Windows.

Für unseren Linux-Server gibt es auch mindestens wöchentlich Security-Updates und das Teil wird auch real angegriffen. So ein Server mit dicker Anbindung im Rechenzentrum ist ja auch ein interessantes Ziel und gar nicht so selten.

@Coda
kann man was zu der HiperV-Validierung lesen? Bei dem Begriff kommen leider keine guten Suchergebnisse raus.

Microsoft hat sogar ihren HyperV-Hypervisor komplett mathematisch validiert und hat dafür 100 Leute 6 Monate daran arbeiten lassen. Niemand sonst tut so etwas. Das Ding ist fehlerfrei.


Das kann ja alles sein, allerdings gab es doch HyperV Schwachstellen in der Vergangenheit. Ich bin sicher auch schon HyperV Security Patches in der Verteilung gesehen zu haben. Wie passt das mit dem Zustand "fehlerfrei" zusammen?


Ich bin fest davon überzeugt, dass Apples Zeug weitaus anfälliger ist.

Potentiell. Denn praktisch ist das Apple Zeugs ja um Größenordnungen sicherer.
Alles andere sind ja erstmal unbelegbare Argumente.
Erstmal kann man nur eines ruhigen Gewissens behaupten nämlich, dass die Windows Umgebung die mit Abstand gefährdetste Umgebung für den Benutzer am PC darstellt.

Erstmal kann man nur eines ruhigen Gewissens behaupten nämlich, dass die Windows Umgebung die mit Abstand gefährdetste Umgebung für den Benutzer am PC darstellt.Was praktisch ausschließlich an der Attrativität des Ziels aufgrund der Verbreitung liegt. Außerdem hat man da noch jede Menge anderer Software drauf, die nicht so gut getestet ist wie Windows selbst und sich oft nicht brauchbar aktualisiert

Alleine das Flash PlugIn hat mehr ausgenützte Lücken in den letzten Jahren als ganz Windows und alle Browser zusammen. Von Adobe gibt es zwar jetzt eine Sandbox, aber ansonsten habe ich da noch nichts von wirklichen Bemühungen gelesen, da prinzipiell was zu ändern. Das wäre wirklich ein Fall, wo man sagen könnte das man sowas eigentlich nicht in die freie Wildbahn lassen dürfte.

Ähnliches gilt für das Java-Plugin.

Was praktisch ausschließlich an der Attrativität des Ziels aufgrund der Verbreitung liegt.


Das ist eine Behauptung die immer wieder zu lesen ist. Das ist Totschlagargument, weil es nämlich netter Weise nicht zu belegen ist.

Aber das Argument ist auch eben sowenig akzeptabel. Denn die Alternativen sind gar nicht für diesen Anspruch gebaut. Es ist ausschliesslich MS, welches Ihr System für diesen Markt allein bedient.

Und das läuft eben auch nur bei MS in diese katastrophale Situation. Wer sagt, denn das ein MAC OS überhaupt so aussehen würde, wie es heute aussieht, wenn Apple 90% Marktanteil hätte?


Außerdem hat man da noch jede Menge anderer Software drauf, die nicht so gut getestet ist wie Windows selbst und sich oft nicht brauchbar aktualisiert


Aber das geht auch auf das Betriebssystem zurück. Wenn das OS eben diesen Weg der Anwendung ermöglicht, bzw. sogar fördert, muss man es diesen mit ankreiden.

Das ist eine Behauptung die immer wieder zu lesen ist. Das ist Totschlagargument, weil es nämlich netter Weise nicht zu belegen ist.das kann man bei jedem Hackerwettbewerb oder Analysen sehe.
Aber das Argument ist auch eben sowenig akzeptabel. Denn die Alternativen sind gar nicht für diesen Anspruch gebaut. Es ist ausschliesslich MS, welches Ihr System für diesen Markt allein bedient.Linux und Mac OS X würde sicher auch gerne den gleichen Marktanteil haben und hätten dann ähnliche Probleme. Im derzeitigen Zustand wohl eher noch deutlich schlimmere.
Und das läuft eben auch nur bei MS in diese katastrophale Situation. Wer sagt, denn das ein MAC OS überhaupt so aussehen würde, wie es heute aussieht, wenn Apple 90% Marktanteil hätte?So katastrophal ist es nun auch nicht. Wenn man seine Software aktuell hat und das Hirn anschaltet ist man auch nur gering gefährdet.
Aber das geht auch auf das Betriebssystem zurück. Wenn das OS eben diesen Weg der Anwendung ermöglicht, bzw. sogar fördert, muss man es diesen mit ankreiden.Das OS muss der Anwendung das letztendlich ermöglichen. Das ist die Aufgabe eines Betriebssystems. Es könnte halt noch bessere Mechanismen zum Schutz anbieten.
Und das bei allen vorhandenen Win32-Anwendungen zu forcieren wäre zwar nett, würde aber letztendlich unglaublich viele Anwendungen unbrauchbar machen. Das wäre Selbstmord von MS.

Windows nutzen, den IE nicht -> sicher genug.

Windows nutzen, den IE nicht -> sicher genug.
Das Flash und Java-PlugIn dürften da die deutlich größeren Probleme sein. Die große Zeit der dauernden IE-Lücken ist seit Jahren vorbei. Jetzt gab es halt nach längerer Zeit mal wieder eine.

Es gibt eine, die gefixt wurde. Ansonsten gibts sicherlich noch weitere, die seit Jahren schlummern.

Bei FF/Chrome wird wenigstens andauernd was geändert. Da fallen sicherlich viel mehr Lücken auf, bevor sie überhaupt ausgenutzt werden.

Linux und Mac OS X würde sicher auch gerne den gleichen Marktanteil haben und hätten dann ähnliche Probleme. Im derzeitigen Zustand wohl eher noch deutlich schlimmere.


Hätte, hätte, Fahrradkette. Schon "das Linux" zu identifizieren fällt dort schwer. Zumal dort Fehlerkultur und Patchmechanismen durchaus transparenter und sehr viel konsequenter sind. Auch das MacOS bietet dort einiges an besseren Ansätzen.
Alles mit Erfolg.

Denn es sind die eindeutig für den Benutzer die sichereren Systeme, wenn man sich die Sicherheitsstatistiken ansieht.


So katastrophal ist es nun auch nicht. Wenn man seine Software aktuell hat und das Hirn anschaltet ist man auch nur gering gefährdet.


Na ja. Die Sicherheitsstatistiken sagen dort aber etwas anderes, oder meinst du, dass der Durchschnittsuser kein Hirn hat?
Wenn der Durchschnittsuser sich in Vollzeit mit IT beschäftigen muss, nur um seinen hässlichen PC bedienen zu können, dann ist das System ebenso am Ziel vorbei.



Das OS muss der Anwendung das letztendlich ermöglichen. Das ist die Aufgabe eines Betriebssystems. Es könnte halt noch bessere Mechanismen zum Schutz anbieten.
Und das bei allen vorhandenen Win32-Anwendungen zu forcieren wäre zwar nett, würde aber letztendlich unglaublich viele Anwendungen unbrauchbar machen. Das wäre Selbstmord von MS.

Das sehe ich anders. Aber komplett.

Wenn dort eine Gefahr ausgeht, dann müssten Unternehmen, wie eben Microsoft verpflichtet werden. Solch ein System ist ja keine Naturgewalt, welche über einen hernieder bricht.
Wenn eben der Preis ist, dass Altanwendungen nicht mehr funktionieren, dann ist es eben der Preis zum Schutz der Allgemeinheit.

Man muss sich nur mal die unfassbaren Zustände ansehen, welche nach der Einführung von Windows XP geherrscht haben und das Internet selbst ernsthaft gefährdeten. Natürlich muss man dort auch die Ersteller des Systems in die Haftung nehmen, welche solche Entwicklung zugelassen haben.

Andauernd ändert sich etwas in der Welt. Dinge die dazu führen, dass alte Anschaffungen nicht mehr genutzt werden können.

Sei es nun eine Lampe, welche nicht mehr genutzt werden kann, weil keine passende ESL mehr zu bekommen ist. Ein Auto, weil es keine hinreichende Umweltplakette bekommen hat usw. usw.
Natürlich hat das auch für Software zu gelten, die nach aktuelleren Wissen eben nicht mehr für hinreichend erachtet wird. Dann müssen Standardsoftware eben erneuert und individuelle Entwicklungen gepflegt werden.

Hätte, hätte, Fahrradkette. Schon "das Linux" zu identifizieren fällt dort schwer. Zumal dort Fehlerkultur und Patchmechanismen durchaus transparenter und sehr viel konsequenter sind. Auch das MacOS bietet dort einiges an besseren Ansätzen.
Alles mit Erfolg. Das Linux bezieht sich natürlich nicht nur auf den Kernel sondern auch von Standardanwendungen. Und Serversoftware ist da einer generellen Gefahr ausgesetzt. Meistens werden die halt sauber aktualisiert.
Denn es sind die eindeutig für den Benutzer die sichereren Systeme, wenn man sich die Sicherheitsstatistiken ansieht.
Na ja. Die Sicherheitsstatistiken sagen dort aber etwas anderes, oder meinst du, dass der Durchschnittsuser kein Hirn hat?Der Durchschnittsuser versteht auf jeden Fall nicht ansatzweise die Zusammenhänge und Funktionsweise von Hard oder Software. Außerdem bedeutet Sicherheit auch immer Einschränkung. Das wollen die vom bösen MS natürlich auch nicht.
Wenn dort eine Gefahr ausgeht, dann müssten Unternehmen, wie eben Microsoft verpflichtet werden. Solch ein System ist ja keine Naturgewalt, welche über einen hernieder bricht.
Wenn eben der Preis ist, dass Altanwendungen nicht mehr funktionieren, dann ist es eben der Preis zum Schutz der Allgemeinheit.Und wo ziehst du da die Grenze? Es gibt kein sicheres System. Wenn der Durchschnittsuser noch Adminrechte hat schon gar nicht.
Man muss sich nur mal die unfassbaren Zustände ansehen, welche nach der Einführung von Windows XP geherrscht haben und das Internet selbst ernsthaft gefährdeten. Natürlich muss man dort auch die Ersteller des Systems in die Haftung nehmen, welche solch gewaltige Lücken zugelassen haben.Das hat sich doch seit über 10 Jahren deutlich gebessert. Im Gegensatz zum Beispiel von Adobe.
Sei es nun eine Lampe, welche nicht mehr genutzt werden kann, weil keine passende ESL mehr zu bekommen ist. Ein Auto, weil es keine hinreichende Umweltplakette bekommen hat usw. usw.
Natürlich hat das auch für Software zu gelten, die nach aktuelleren Wissen eben nicht mehr für hinreichend erachtet wird.XP stirbt ja demnächst aus. Hätte von mir auch gerne eher sein können.

Bei Windows 8 gibt es ja den AppStore. Der müsste dann doch fast deine Anforderungen erfüllen. Eingeschränkte API, zentrale Updates und im Notfall Sperrungen durch MS.
Für die Situation mit den jetzigen Desktopanwendungen gibt es IMO keine realistische Situation. Wirklich lösen kann man das Problem eh nicht und so schlimm ist es meiner Meinung nach auch nicht. Allen recht machen kann man es auch nicht, da sich da die Ziele direkt wiedersprechen.

Das wollen die vom bösen MS natürlich auch nicht.


Nein. Böse sind sie nicht. Der Marktanteil ist schlicht zu groß. Es ist die Auswirkung einer Monokultur und eingeschränkten Wettbewerbs.


Und wo ziehst du da die Grenze? Es gibt kein sicheres System. Wenn der
Durchschnittsuser noch Adminrechte hat schon gar nicht.
Das hat sich doch seit über 10 Jahren deutlich gebessert. Im Gegensatz zum Beispiel von Adobe.
XP stirbt ja demnächst aus. Hätte von mir auch gerne eher sein können.

Die Grenze wird am tatsächlichen angerichteten Schaden gezogen.
Die Softwarehaftung muss mal grundlegend überdacht werden.
Z.B. der Entwicklungsprozess der Software als solches. Wer zur Entwicklung schon veraltete Werkzeuge und Methoden anwendet, sollte sich im Streitfall auch nicht wundern müssen die Haftung aufgebrummt zu bekommen.

Bei Windows 8 gibt es ja den AppStore. Der müsste dann doch fast deine Anforderungen erfüllen. Eingeschränkte API, zentrale Updates und im Notfall Sperrungen durch MS.

Nein. Es ist das Repository nicht der AppStore. Natürlich bietet der AppStore auch ein Repository, aber er verhindert zum einen den Wettbewerb und er macht den Bock zum Gärtner, denn der Systemanbieter selbst seine Sicht von Sicherheit festlegen darf und verlagert die Sicherheit damit in das Marketing.


Für die Situation mit den jetzigen Desktopanwendungen gibt es IMO keine realistische Situation.

Ja, dieses Gebiet scheint verloren. Muss man aufpassen, aus Fehlern lernen und in der Zukunft diese vermeiden.

Das kann ja alles sein, allerdings gab es doch HyperV Schwachstellen in der Vergangenheit.
Welche? http://technet.microsoft.com/en-us/library/dd430893(v=ws.10).aspx

Ich seh da genau ein Denial-Of-Service-Problem. Es geht um den Hypervisor, natürlich gibt es auch noch andere Bestandteile.

Ja, dieses Gebiet scheint verloren. Muss man aufpassen, aus Fehlern lernen und in der Zukunft diese vermeiden.
Der komplette Microsoft-Campus wird bei der Einstellung einem Security-Briefing unterzogen und wurde in der XP-Zeit für 6 Monate freigestellt um entsprechende Schulungen zu machen.

Es geht nicht darum "aus Fehlern zu lernen", der Schritt ist schon längst abgeschlossen. Das Problem ist, dass kein Mensch der Welt fehlerfreie Software schreiben kann, deshalb braucht man auch ein komplettes Gebäude voller Leute, die die Security-Audits machen. Bei Apple? Niemand. Die scheißen immer noch darauf.

Und nein, ich bin nicht der einzige der das sagt: http://www.forbes.com/sites/adriankingsleyhughes/2012/04/25/apple-10-years-behind-microsoft-when-it-comes-to-security/.

Ich bin mir im übrigens auch ziemlich sicher, dass man den Gamecode so gut wie jedes Spiels angreifen kann, wenn man den Server kontrolliert. Aber das ist ein anderes Thema.

Im Übrigen, falls jemand die Hyper-V-Geschichte nicht glaubt: http://research.microsoft.com/en-us/projects/vcc/