ANI-Exploit: Wie konnte anfälliger Code in Vista geraten?

Diskutiere ANI-Exploit: Wie konnte anfälliger Code in Vista geraten? im IT-News Forum im Bereich IT-News; Der anfällige Code zum Umgang mit animierten Mauszeigern hat alle Sicherheitsprüfungen ohne Befunde überstanden, wie ein Sicherheitsfachmann von...
#1
Eric-Cartman

Eric-Cartman

Moderator
Team
Dabei seit
22.06.2005
Beiträge
8.628
Alter
37
Ort
In Windows Nr. 10




Der anfällige Code zum Umgang mit animierten Mauszeigern hat alle Sicherheitsprüfungen ohne Befunde überstanden, wie ein Sicherheitsfachmann von Microsoft in einem neu eingerichteten Blog berichtet.

Am 3. April veröffentlichte Microsoft außerhalb des normalen Patch-Zyklus ein Sicherheits-Update gegen die so genannte "ANI-Lücke" . Da diese Schwachstelle auch Windows Vista betrifft, von dem Microsoft sagt, es sei das bislang sicherste Windows, stellt sich die Frage, warum diese Sicherheitslücke den Vista-Entwicklern entgangen ist.

Diese Frage versucht Michael Howard, ein prominenter Sicherheitsfachmann bei Microsoft und Autor mehrerer Bücher zur Software-Sicherheit, im neuen Microsoft SDL-Blog zu beantworten. In einem längeren Beitrag unter dem Titel "Lessons learned from the Animated Cursor Security Bug" beschreibt Howard auch, welche Lehren Microsoft aus dieser Pannenserie bereits gezogen und welche es noch zu ziehen hat.

Der Programm-Code zur Verarbeitung von Dateien mit animierten Mauszeigern stammt noch aus Windows 2000. Mit der Einführung von SDL (Security Development Lifecycle) hat Microsoft auch eine Reihe von Richtlinien etabliert, nach denen Code zu prüfen ist, bevor er es in die endgültige Fassung eines Produkts schaffen kann. Dazu gehören auch ein Verbot bestimmter, als unsicher geltender Systemaufrufe in Vista sowie eine Compiler-Option "-GS" beim Übersetzen der Quelltexte in ausführbaren Code, die Pufferüberläufe verhindern soll.

Michael Howard geht die Sicherheitsprüfungen der Reihe nach durch und erklärt, warum die ANI-Lücke bei keiner dieser Prüfungen aufgefallen ist. Er schließt mit der Feststellung, dass SDL keineswegs bereits perfekt sei und Microsoft noch einiges an Arbeit bevor stehe um es zu verbessern. Einige der Lehren aus dieser Panne seien bereits umgesetzt, weitere müssten jedoch noch folgen.

Quelle: IDG Magazine Media GmbH/PC-WELT Online
 
#2
Bullayer

Bullayer

Schwergewicht
Dabei seit
19.07.2006
Beiträge
24.134
Ort
DE-RLP-COC
... stellt sich die Frage, warum diese Sicherheitslücke den Vista-Entwicklern entgangen ist....
Für die Sicherheitschecks sind bestimmt nicht die Entwickler zuständig. Dafür hat M$ bestimmt andere, die die Lücken ausfindig machen. :D
 
#3
Michel

Michel

Gallery / Moderator
Team
Dabei seit
09.11.2006
Beiträge
12.595
Alter
37
Ort
Wetterau
Für die Sicherheitschecks sind bestimmt nicht die Entwickler zuständig. Dafür hat M$ bestimmt andere, die die Lücken ausfindig machen. :D
Ja, man nennt sie auch User, Anwender oder Versuchskaninchen. :D
 
#6
L

Lenny

Gast
Für die Sicherheitschecks sind bestimmt nicht die Entwickler zuständig. Dafür hat M$ bestimmt andere, die die Lücken ausfindig machen. :D
Das sieht man gut bei Gothic3, da wurde einer rumänische Firma der Beta und Final Test übertragen ;) ...Ergebnis :wut
 
#7
DiableNoir

DiableNoir

Dabei seit
18.01.2004
Beiträge
6.069
Viel Code von Windows 2000 steckte ja noch in Windows XP SP2 und auf selbigen setzt doch Vista auf. Kein Wunder dass sich da auch Sicherheitslücken quer durch mehrere Versionen ziehen. Hatten wir ja schon öfter...siehe IE oder die alte Windows Hilfe.

BTW: Man kann zwar grundsätzlich durch solche standardisierte Qualitätsprüfungen Code sicherer machen, aber ein Allheilmittel ist es sicher nicht. Sicherheitsfehler treten nun mal nicht immer gleich auf.
 
Thema:

ANI-Exploit: Wie konnte anfälliger Code in Vista geraten?

ANI-Exploit: Wie konnte anfälliger Code in Vista geraten? - Ähnliche Themen

  • Nokia Lumia 830 läuft durch Exploit mit Android 5.0.2?

    Nokia Lumia 830 läuft durch Exploit mit Android 5.0.2?: Es ist ja vorgesehen, dass man unter dem finalen Windows 10 Mobile recht leicht Android Apps konvertieren können wird. Nun haben es Mitglieder der...
  • News: Java auch in neuester Version mit Sicherheitslücke - Exploits für ältere Version kursieren im Netz

    News: Java auch in neuester Version mit Sicherheitslücke - Exploits für ältere Version kursieren im Netz: Die schlechten Nachrichten rund um Oracles Java reißen einfach nicht ab, denn trotz etlicher Updates in jüngster Zeit finden sich immer und immer...
  • Gefährlicher Java Exploit!!! Java unbedingt deaktivieren oder blockieren!

    Gefährlicher Java Exploit!!! Java unbedingt deaktivieren oder blockieren!: Hallo liebe Gemeinde, seit kurzem gibt es ein neues bekanntes Exploit in der Java VM, das wirklich gefährlich ist. Verglichen mit einigen anderen...
  • WoW-Exploit entvölkerte ganze Städte

    WoW-Exploit entvölkerte ganze Städte: Das Online-Rollenspiel World of Warcraft wurde am Wochenende Opfer eines erfolgreichen Hacks, der in der virtuellen Welt ganze Städte entvölkerte...
  • Patch: Microsoft schließt ANI-Lücke

    Patch: Microsoft schließt ANI-Lücke: Microsoft hat ein Security Bulletin veröffentlicht, das eine in den letzten Tagen auf breiter Front ausgenutzte Sicherheitslücke behandelt. Die...
  • Ähnliche Themen

    Oben