Microsoft: Patches für gefährliche Lücken kommen am Dienstag

Diskutiere Microsoft: Patches für gefährliche Lücken kommen am Dienstag im IT-News Forum im Bereich IT-News; Aktiv ausgenutztes Sicherheitsloch im IE soll endlich gestopft werden Im Rahmen seines monatlichen Patch Day will Microsoft am Dienstag, den...
#1
Eric-Cartman

Eric-Cartman

Moderator
Threadstarter
Team
Dabei seit
22.06.2005
Beiträge
8.628
Alter
38
Ort
In Windows Nr. 10
Aktiv ausgenutztes Sicherheitsloch im IE soll endlich gestopft werden

Im Rahmen seines monatlichen Patch Day will Microsoft am Dienstag, den 11. April, fünf Updates veröffentlichen, die Sicherheitslöcher in Windows und Office schließen. Dies meldet das Unternehmen in seiner "Security Bulletin Advance Notification" für den Monat April.

Mindestens eines der Updates für Windows verdient nach Microsofts Bewertungsskala den maximalen Schweregrad "kritisch". Dies bedeutet, dass die behandelte Schwachstelle auch ohne Interaktion des Anwenders von Angreifern ausgenutzt werden kann, um Schaden anzurichten.

In ungewohnter Manier kündigt Microsoft bereits im Vorfeld Details über die zu schließenden Schwachstellen an. So soll eines der kommenden Updates ein kumulativer Patch für den Internet Explorer sein, der unter anderem die so genannte "createTextRange"-Anfälligkeit behebt. Die Mitte März bekannt gewordene Verwundbarkeit stellt eine ernst zu nehmende Bedrohung für Nutzer des Microsoft-Browsers dar.

Weitergehende Informationen zu den Software-Fehlern, den betroffenen Windows-und Office-Versionen und zu den neuen Patches gibt Microsoft erst mit der Freigabe der Security-Bulletins heraus.

Neben den Updates wird Microsoft eine aktualisierte Version des "Windows-Tool zum Entfernen bösartiger Software" zur Verfügung stellen. Die Software erkennt und löscht gängige Malware, die sich im System eingenistet hat, schützt jedoch nicht von vornherein vor dem Befall.

Siehe auch: Quelle: CNET Networks Deutschland GmbH/ZDNet.de und CNET.de
 
#2
M

myoto

Gast
Und wieso erst am 11.?

Ich versteh das immer noch nicht
 
#3
T

Tikonteroga

Dabei seit
23.05.2005
Beiträge
1.969
ZITAT(myoto @ 07.04.2006, 21:05) Quoted post
Und wieso erst am 11.?

Ich versteh das immer noch nicht
[/b]
ZITAT(djcopy02 @ 29.03.2006, 12:58) Quoted post
Es lässt Microsoft keineswegs kalt, dass Hacker eine neu aufgedeckte Schwachstelle im IE derzeit massiv ausnutzen und viele Nutzer frustriert sind, weil ein Lösung für das Problem noch zwei Wochen auf sich warten lassen könnte. Der Softwaregigant grübelt bereits über seiner Sicherheits-Strategie: Sollte man die Bereitstellung von Sicherheitspatches forcieren? Updates eventuell weniger ausgiebig testen? Und was für Folgen hätten derartige Maßnahmen?

Mehr als 200 Webseiten konnten bereits identifiziert werden, die die neueste Schwachstelle im IE - die createTextRange()-Lücke - ausnutzen ( wir berichteten ). Ein offizieller Flicken für das Sicherheitsloch wird aller Wahrscheinlichkeit nach aber erst am üblichen Patch-Day im nächsten Monat, also am 11. April, bereitstehen. Die Debatte um Microsofts Sicherheits-Strategie ist dadurch neu entfacht worden. In den Augen der Sicherheits-Community ist der Softwaregigant einfach viel zu träge, um auf ernste Probleme schnell reagieren zu können.

Microsofts übliche Vorgehensweise, Patches erst am zweiten Dienstag eines jeden Monats zur veröffentlichen, kann manchmal Heim-Nutzer schädigen. Sie profitieren nicht von Schichten über Schichten an Schutzmechanismen, die typisch für Unternehmens-Bereiche sind, erläutert Todd Towles, ein Sicherheits-Berater in Austin, Texas. "In der Vergangenheit, da hatte ich kein Problem mit Microsofts Verzögerungen, aber es passiert jetzt zu oft", so Towles. "Microsoft wartet auf den Patch-Dienstag, um IT-Teams in Unternehmen glücklich zu machen, aber das schädigt einige Millionen Heim-Anwender, die einem höheren Sicherheitsrisiko ausgesetzt sind."

Microsoft lässt die wieder einmal entfachte Debatte um seine Sicherheits-Strategien keineswegs kalt. Das Unternehmen untersucht bereits, wie man schneller Updates bereitstellen könnte. Pläne, eventuell die Beta-Versionen von Sicherheits-Updats bereitzustellen (wie dies jetzt gefordert wurde), gibt es aber laut Stephen Toulouse, Security Program Manager im Microsoft Security Response Center, gegenwärtig nicht. "Das wäre mit einigen sehr großen Herausforderungen verbunden“, so Toulouse. Besonders was das Thema Qualitätssicherung angeht.

Microsoft muss nämlich sicherstellen, dass seine Updates auf einer breiten Palette an Plattformen funktionieren, von denen viele angepasst wurden, für die verschiedenen Länder auf der Welt. "Wir können niemanden außen vorlassen", meint Toulouse. "Und unglücklicherweise führt man eventuell neue Probleme ein. Wann immer wir einen schnellen Hack ins Auge fassen…muss er qualitativ hochwertig sein. Das ist es, was Kunden uns wieder und wieder gesagt haben.“ Weiter sagt er: "Das soll nicht heißen, dass wir nicht Wege unter die Lupe nehmen, die es uns ermöglichen würden…ein schnelleres oder möglicherweise weniger ausgiebig getestetes Update herauszubringen, aber wir haben bislang keinen Entschluss gefasst.“

Die Idee, Software bereits vorab zugänglich zu machen, die dementsprechend nicht oder noch nicht unterstützt wird, ist dabei keineswegs neu für Microsoft. Das Unternehmen liefert ja schon seit Jahren Preview- & Beta-Versionen von Produkten vorab an Tester, und hat gerade in den letzten Monaten positive Änderungen herbeigeführt, Stichwort Transparenz. Und man versucht auch beweglicher bei Microsoft zu werden, in der Art und Weise wie Code aus kommenden Produkten zur Verfügung gestellt wird.

Obowhl die Vorgehensweise - ein in der Beta-Phase befindliches Produkt vorab Nutzern zur Verfügung zu stellen - für manche Software funktionieren mag, ist sie aber eventuell nicht für Sicherheitsupdates geeignet. Wenn Microsoft einen nicht ausgereiften Patch bereitstellt, könnte das Unternehmen Hackern damit eventuell einen entscheidenden Hinweis für eine neue Art von Angriff in die Hände spielen. Auch wie mit Informationen umgegangen werden sollte, ist nicht ganz klar. Toulouse gibt zu bedenken, dass wenn Microsoft ein Bulletin veröffentlicht, Details zu den Lücken genannt werden. "Mit einer Beta, wie sollte es da gehandhabt werden? Gibt es da auch eine Art Bulletin?"

Dass andere dazu verleitet werden für Microsoft in die Bresche zu springen, scheint auch nicht des Rätsels Lösung zu sein. Hintergrund: Aufgrund der recht langen Reaktionszeiten, haben beispielsweise die Spezialisten von eEye Digital Security Inc. und Determina Inc inoffizielle Patches für den letzten Bug bereitgestellt ( wir berichteten ). Und bereits vor rund zwei Monaten stellte der Entwickler Ilfak Guilfanov einen von vielen genutzten Patch bereit, mit dem eine ähnlich kritische Lücke geschlossen wurde. Microsoft empfiehlt die Patches Dritter jedenfalls nicht . Der Grund dafür ist einfach: Durch die Modifikation wird die Funktionsweise des Produkts geändert, eventuell ist die Anwendung dann nicht mehr kompatibel mit anderen Anwendungen.

Towles hält den Weg für Microsoft, früher Updates zu veröffentlichen für machbar. Sein Kommentar: "Sie lassen uns SQL (Beta) nutzen, warum nicht auch einen Beta-Patch für den IE?"

Inoffizieller Patch für neue IE-Sicherheitslücke

Trojanische Pferde nutzen neuen IE-Exploit

Dritte IE-Schwachstelle innerhalb kürzester Zeit (Update!)

Quelle: IDG Magazine Verlag GmbH/PC-WELT
[/b]
 
#5
M

myoto

Gast
ZITATMicrosofts übliche Vorgehensweise, Patches erst am zweiten Dienstag eines jeden Monats zur veröffentlichen, kann manchmal Heim-Nutzer schädigen. Sie profitieren nicht von Schichten über Schichten an Schutzmechanismen, die typisch für Unternehmens-Bereiche sind, erläutert Todd Towles, ein Sicherheits-Berater in Austin, Texas. "In der Vergangenheit, da hatte ich kein Problem mit Microsofts Verzögerungen, aber es passiert jetzt zu oft", so Towles. "Microsoft wartet auf den Patch-Dienstag, um IT-Teams in Unternehmen glücklich zu machen, aber das schädigt einige Millionen Heim-Anwender, die einem höheren Sicherheitsrisiko ausgesetzt sind."[/b]
Danke für diese Antwort ( siehe dein Zitat )
 
#6
T

Tikonteroga

Dabei seit
23.05.2005
Beiträge
1.969
ZITAT(myoto @ 07.04.2006, 22:50) Quoted post
ZITATMicrosofts übliche Vorgehensweise, Patches erst am zweiten Dienstag eines jeden Monats zur veröffentlichen, kann manchmal Heim-Nutzer schädigen. Sie profitieren nicht von Schichten über Schichten an Schutzmechanismen, die typisch für Unternehmens-Bereiche sind, erläutert Todd Towles, ein Sicherheits-Berater in Austin, Texas. "In der Vergangenheit, da hatte ich kein Problem mit Microsofts Verzögerungen, aber es passiert jetzt zu oft", so Towles. "Microsoft wartet auf den Patch-Dienstag, um IT-Teams in Unternehmen glücklich zu machen, aber das schädigt einige Millionen Heim-Anwender, die einem höheren Sicherheitsrisiko ausgesetzt sind."[/b]
Danke für diese Antwort ( siehe dein Zitat )
[/b]
Entweder willst du es nicht verstehen, der Text war vielleicht zu lang oder/und zu schwer oder vielleicht auch beides. :nixweis Habs jetzt den Text extra für dich ein Bisschen gekürzt und wichtige Textstellen Fett hervorgehoben. :aah


[...]

Microsoft lässt die wieder einmal entfachte Debatte um seine Sicherheits-Strategien keineswegs kalt. Das Unternehmen untersucht bereits, wie man schneller Updates bereitstellen könnte. Pläne, eventuell die Beta-Versionen von Sicherheits-Updats bereitzustellen (wie dies jetzt gefordert wurde), gibt es aber laut Stephen Toulouse, Security Program Manager im Microsoft Security Response Center, gegenwärtig nicht. "Das wäre mit einigen sehr großen Herausforderungen verbunden“, so Toulouse. Besonders was das Thema Qualitätssicherung angeht.

Microsoft muss nämlich sicherstellen, dass seine Updates auf einer breiten Palette an Plattformen funktionieren, von denen viele angepasst wurden, für die verschiedenen Länder auf der Welt. "Wir können niemanden außen vorlassen", meint Toulouse. "Und unglücklicherweise führt man eventuell neue Probleme ein. Wann immer wir einen schnellen Hack ins Auge fassen…muss er qualitativ hochwertig sein. Das ist es, was Kunden uns wieder und wieder gesagt haben.“ Weiter sagt er: "Das soll nicht heißen, dass wir nicht Wege unter die Lupe nehmen, die es uns ermöglichen würden…ein schnelleres oder möglicherweise weniger ausgiebig getestetes Update herauszubringen, aber wir haben bislang keinen Entschluss gefasst.“

Die Idee, Software bereits vorab zugänglich zu machen, die dementsprechend nicht oder noch nicht unterstützt wird, ist dabei keineswegs neu für Microsoft. Das Unternehmen liefert ja schon seit Jahren Preview- & Beta-Versionen von Produkten vorab an Tester, und hat gerade in den letzten Monaten positive Änderungen herbeigeführt, Stichwort Transparenz. Und man versucht auch beweglicher bei Microsoft zu werden, in der Art und Weise wie Code aus kommenden Produkten zur Verfügung gestellt wird.

Obowhl die Vorgehensweise - ein in der Beta-Phase befindliches Produkt vorab Nutzern zur Verfügung zu stellen - für manche Software funktionieren mag, ist sie aber eventuell nicht für Sicherheitsupdates geeignet. Wenn Microsoft einen nicht ausgereiften Patch bereitstellt, könnte das Unternehmen Hackern damit eventuell einen entscheidenden Hinweis für eine neue Art von Angriff in die Hände spielen. Auch wie mit Informationen umgegangen werden sollte, ist nicht ganz klar. Toulouse gibt zu bedenken, dass wenn Microsoft ein Bulletin veröffentlicht, Details zu den Lücken genannt werden. "Mit einer Beta, wie sollte es da gehandhabt werden? Gibt es da auch eine Art Bulletin?"

Dass andere dazu verleitet werden für Microsoft in die Bresche zu springen, scheint auch nicht des Rätsels Lösung zu sein. Hintergrund: Aufgrund der recht langen Reaktionszeiten, haben beispielsweise die Spezialisten von eEye Digital Security Inc. und Determina Inc inoffizielle Patches für den letzten Bug bereitgestellt ( wir berichteten ). Und bereits vor rund zwei Monaten stellte der Entwickler Ilfak Guilfanov einen von vielen genutzten Patch bereit, mit dem eine ähnlich kritische Lücke geschlossen wurde. Microsoft empfiehlt die Patches Dritter jedenfalls nicht . Der Grund dafür ist einfach: Durch die Modifikation wird die Funktionsweise des Produkts geändert, eventuell ist die Anwendung dann nicht mehr kompatibel mit anderen Anwendungen.
 
#7
T

Tobias28

Dabei seit
21.09.2005
Beiträge
853
ZITATMicrosofts übliche Vorgehensweise, Patches erst am zweiten Dienstag eines jeden Monats zur veröffentlichen, kann manchmal Heim-Nutzer schädigen. Sie profitieren nicht von Schichten über Schichten an Schutzmechanismen, die typisch für Unternehmens-Bereiche sind, erläutert Todd Towles, ein Sicherheits-Berater in Austin, Texas. "In der Vergangenheit, da hatte ich kein Problem mit Microsofts Verzögerungen, aber es passiert jetzt zu oft", so Towles. "Microsoft wartet auf den Patch-Dienstag, um IT-Teams in Unternehmen glücklich zu machen, aber das schädigt einige Millionen Heim-Anwender, die einem höheren Sicherheitsrisiko ausgesetzt sind."[/b]
Wenn M$ nicht in der Lage ist für Heimnutzer UND Unternehmen eine vernüftige Sicherheitspolitik zu fahren, dann sollen sie es doch BITTE ganz sein lassen...
ZITAT(Tikonteroga @ 07.04.2006, 23:19) Quoted post
Microsoft lässt die wieder einmal entfachte Debatte um seine Sicherheits-Strategien keineswegs kalt. Das Unternehmen untersucht bereits, wie man schneller Updates bereitstellen könnte. Pläne, eventuell die Beta-Versionen von Sicherheits-Updats bereitzustellen (wie dies jetzt gefordert wurde), gibt es aber laut Stephen Toulouse, Security Program Manager im Microsoft Security Response Center, gegenwärtig nicht. "Das wäre mit einigen sehr großen Herausforderungen verbunden“, so Toulouse. Besonders was das Thema Qualitätssicherung angeht.
[/b]
Eine zu große Herausforderung für den omnipotenten Weltmarktführer? Das kann ich mir jetzt gar nicht erklären...
ZITAT
Microsoft muss nämlich sicherstellen, dass seine Updates auf einer breiten Palette an Plattformen funktionieren, von denen viele angepasst wurden, für die verschiedenen Länder auf der Welt. "Wir können niemanden außen vorlassen", meint Toulouse. "Und unglücklicherweise führt man eventuell neue Probleme ein.
[/b]
Wer viele Fliegen mit einer Klappe schlagen will muss halt dafür sorgen, dass der erste Schlag richtig sitzt...
ZITAT
Das ist es, was Kunden uns wieder und wieder gesagt haben.“ Weiter sagt er: "Das soll nicht heißen, dass wir nicht Wege unter die Lupe nehmen, die es uns ermöglichen würden…ein schnelleres oder möglicherweise weniger ausgiebig getestetes Update herauszubringen, aber wir haben bislang keinen Entschluss gefasst.“
[/b]
Von einem Weltmarkführer der einen internationalen hochklassigen Ruf zu verteidigen hat kann man doch etwas mehr erwarten als blosses Sondieren einer Möglichkeit...
ZITAT
Obwohl die Vorgehensweise - ein in der Beta-Phase befindliches Produkt vorab Nutzern zur Verfügung zu stellen - für manche Software funktionieren mag, ist sie aber eventuell nicht für Sicherheitsupdates geeignet. Wenn Microsoft einen nicht ausgereiften Patch bereitstellt, könnte das Unternehmen Hackern damit eventuell einen entscheidenden Hinweis für eine neue Art von Angriff in die Hände spielen. Auch wie mit Informationen umgegangen werden sollte, ist nicht ganz klar. Toulouse gibt zu bedenken, dass wenn Microsoft ein Bulletin veröffentlicht, Details zu den Lücken genannt werden. "Mit einer Beta, wie sollte es da gehandhabt werden? Gibt es da auch eine Art Bulletin?"
[/b]
Dann gibts halt erst mal kein Bulletin. Außerdem betont M$ ja immer dass die Patches bereits komplett fertig entwickelt sind - nur um der Unternehmen Sicherheit (also Zahlungsfähigkeit) wegen wird dann noch immer dieses Theater mit der Softwarequalitätssicherung veranstaltet. Was die Normaluser angeht hat M$ ja schon häufig bewiesen, dass es keine Hemmungen hat, Alpha Versionen (Win 3.11, 95, ME) als fertiges Release zu verkaufen. Im Grunde sind das alles nur vorgeschobene Gründe. M$ will halt den potentiellen Aufwand von mehreren Sicherheitspolitiken vermeiden, weil das ja zusätzlichen Aufwand bedeuten würde...
ZITAT
Dass andere dazu verleitet werden für Microsoft in die Bresche zu springen, scheint auch nicht des Rätsels Lösung zu sein. Hintergrund: Aufgrund der recht langen Reaktionszeiten, haben beispielsweise die Spezialisten von eEye Digital Security Inc. und Determina Inc inoffizielle Patches für den letzten Bug bereitgestellt ( wir berichteten ). Und bereits vor rund zwei Monaten stellte der Entwickler Ilfak Guilfanov einen von vielen genutzten Patch bereit, mit dem eine ähnlich kritische Lücke geschlossen wurde. Microsoft empfiehlt die Patches Dritter jedenfalls nicht . Der Grund dafür ist einfach: Durch die Modifikation wird die Funktionsweise des Produkts geändert, eventuell ist die Anwendung dann nicht mehr kompatibel mit anderen Anwendungen.
[/b]
Natürlich empfiehlt M$ die Patches Dritter, kleiner popeliger Anbieter nicht. Denn damit würden sie ja ihre eigene Unfähigkeit zugeben.
Ein weiterer Grund für die Verzögerung von Sicherheitspatches ist aus meiner Sicht nach wie vor, dass M$ auf den Antimalware-Zug mit aufspringen will, nach dem Motto: Wir haben diese Branche groß gemacht also lasst uns mitverdienen!
 
#8
SKOM

SKOM

Dabei seit
13.01.2006
Beiträge
10
Alter
38
also ich finde das ist jetzt ein bissel kindergarten hier. ist doch dumm wenn man aus irgendwelchen zitaten immer irgendetwas reininterpretiert und es dann negativ bewertet.... man sollte objektiv bleiben und nicht nur immer mit gewalt etwas schlechtes finden.

:blink
 
#9
T

Tikonteroga

Dabei seit
23.05.2005
Beiträge
1.969
ZITAT(Tobias28 @ 08.04.2006, 00:50) Quoted post
Wenn M$ nicht in der Lage ist für Heimnutzer UND Unternehmen eine vernüftige Sicherheitspolitik zu fahren, dann sollen sie es doch BITTE ganz sein lassen...
[/b]
Ist das dein Ernst?

ZITAT(Tobias28 @ 08.04.2006, 00:50) Quoted post
Eine zu große Herausforderung für den omnipotenten Weltmarktführer? Das kann ich mir jetzt gar nicht erklären...
[/b]
Auch wenn Microsoft Weltmatktführer ist und über sehr viel Kapital verfügen mag, heisst das nicht dass die unbegrenzt Gelder zur verfügung stellen können... Solange du die genauen Finanzen, die Kosten und Ausgaben und was weiss ich noch alles nicht kennst, solltest du dich etwas zurückhalten so eine Art von Urteil zu fällen. Von etwas nicht wirklich die volle Ahnung zu haben, dann aber etwas scharf zu kritisieren und zu meinen man wüsste es besser, ist nicht gerade ein guter Charakterzug.

ZITAT(Tobias28 @ 08.04.2006, 00:50) Quoted post
Wer viele Fliegen mit einer Klappe schlagen will muss halt dafür sorgen, dass der erste Schlag richtig sitzt...
[/b]
Das versucht Microsoft ja. Und wenn es halt darum geht Probleme in Software zu lösen, ist dazu eben auch eine gewisse Zeit notwendig. Das mit den Fliegen mit einer Klappe ist halt auch sehr oft vom Zufall oder Glück abhängig und in der Softwareentwicklung bzw. dem Software Enginieering sollte man sich eigentlich nicht auf den Zufall oder das Glück verlassen.

ZITAT(Tobias28 @ 08.04.2006, 00:50) Quoted post
Von einem Weltmarkführer der einen internationalen hochklassigen Ruf zu verteidigen hat kann man doch etwas mehr erwarten als blosses Sondieren einer Möglichkeit...
[/b]
Es sagt ja auch keiner, dass Microsoft nur die Möglichkeit sondiert. Glaubst du allen Ernstes, dass die die Möglichkeit nur sondieren und wenn Sie eine Möglichkeit finden ihre Sicherheitspolitik zu Verbessern sagen "Gut zu wissen!" und weiter machen wie bisher?!? Das ist halt, wie vieles Andere "Zeitabhängig". Ist es für dich nicht verständlich, wie dass mit der Zeit und der Reihenfolge so ist? Erst analysieren die mehrere Möglichkeiten und entscheiden sich dann für die "Beste". Hast du sicher auch schon so ähnlich gemacht.

ZITAT(Tobias28 @ 08.04.2006, 00:50) Quoted post
Natürlich empfiehlt M$ die Patches Dritter, kleiner popeliger Anbieter nicht. Denn damit würden sie ja ihre eigene Unfähigkeit zugeben. Ein weiterer Grund für die Verzögerung von Sicherheitspatches ist aus meiner Sicht nach wie vor, dass M$ auf den Antimalware-Zug mit aufspringen will, nach dem Motto: Wir haben diese Branche groß gemacht also lasst uns mitverdienen!
[/b]
Soviel ich weiss haben sich z. B. das damalige inoffizielle Sicherheitsupdate für die WMF-Lücke und das offizielle Sicherheitsupdate von Microsoft unterschieden. In dem inoffiziellen Sicherheitsupdate wurde eine bestimmte Funktion deaktiviert, welche die Kompatibilität bzw. den Funktionsumfang der Software beeinträchtigt hat. Microsoft wird die Software wohl auf eine Art und Weise korrigiert haben, welche die Kompatibilität und den Funktionsumfang der Software nicht beeinträchtigt hat.
 
#10
SKOM

SKOM

Dabei seit
13.01.2006
Beiträge
10
Alter
38
@tikonteroga
lass es lieber, du verschwendest deine zeit.... man muss nicht auf alle sinnfreien argumente antworten.

mfg
SKOM :blink
 
#11
T

Tobias28

Dabei seit
21.09.2005
Beiträge
853
ZITAT(Tikonteroga @ 08.04.2006, 11:19) Quoted post
Ist das dein Ernst?
[/b]
Ja. Ich bin im privaten Bereich schon lange von M$ unabhängig... es geht auch ohne Windows.
ZITATAuch wenn Microsoft Weltmatktführer ist und über sehr viel Kapital verfügen mag, heisst das nicht dass die unbegrenzt Gelder zur verfügung stellen können... Solange du die genauen Finanzen, die Kosten und Ausgaben und was weiss ich noch alles nicht kennst, solltest du dich etwas zurückhalten so eine Art von Urteil zu fällen. Von etwas nicht wirklich die volle Ahnung zu haben, dann aber etwas scharf zu kritisieren und zu meinen man wüsste es besser, ist nicht gerade ein guter Charakterzug.[/b]
Mir kommen die Tränen... armes M$. Wenn ich mir das oder das ansehe komme ich ziemlich schnell zu dem Schluss, das M$ alles andere als knapp bei Kasse ist...


ZITATEs sagt ja auch keiner, dass Microsoft nur die Möglichkeit sondiert. Glaubst du allen Ernstes, dass die die Möglichkeit nur sondieren und wenn Sie eine Möglichkeit finden ihre Sicherheitspolitik zu Verbessern sagen "Gut zu wissen!" und weiter machen wie bisher?!? Das ist halt, wie vieles Andere "Zeitabhängig". Ist es für dich nicht verständlich, wie dass mit der Zeit und der Reihenfolge so ist? Erst analysieren die mehrere Möglichkeiten und entscheiden sich dann für die "Beste". Hast du sicher auch schon so ähnlich gemacht.[/b]
Es ist ja nun nicht wirklich ein neues Problem mit den Sicherheitslücken... oder willst du mir erzählen, dass M$ seit Jahren darüber nachdenkt wie sie die Sicherheitspolitik verbessern können? Nein. M$ regt sich traditionell nur wenn der Aufschrei in der Öffentlichkeit so groß ist, dass es dem eigenen Ruf/Umsatz schadet...
ZITAT
Soviel ich weiss haben sich z. B. das damalige inoffizielle Sicherheitsupdate für die WMF-Lücke und das offizielle Sicherheitsupdate von Microsoft unterschieden. In dem inoffiziellen Sicherheitsupdate wurde eine bestimmte Funktion deaktiviert, welche die Kompatibilität bzw. den Funktionsumfang der Software beeinträchtigt hat. Microsoft wird die Software wohl auf eine Art und Weise korrigiert haben, welche die Kompatibilität und den Funktionsumfang der Software nicht beeinträchtigt hat.
[/b]
Ja, es gab bestimmte Unterschiede. Aber das war kein Problem, da man den inoffiziellen Patch auch noch nachdem der offizielle Patch bereits eingespielt war problemlos über Systemsteuerung->Software deinstallieren konnte.
 
#12
Eric-Cartman

Eric-Cartman

Moderator
Threadstarter
Team
Dabei seit
22.06.2005
Beiträge
8.628
Alter
38
Ort
In Windows Nr. 10
Leute haart das hier etwa in einem streit aus??? sowas will ich hier nicht sehn
 
#13
T

Tobias28

Dabei seit
21.09.2005
Beiträge
853
ZITAT(Eric-Cartman @ 08.04.2006, 14:05) Quoted post
Leute haart das hier etwa in einem streit aus??? sowas will ich hier nicht sehn
[/b]
Ich glaube mit Streit hat das wenig zu tun. Es gibt halt ein Paar Meinungsverschiedenheiten...
Übrigens - es tut dem Board gut, wenn Leute verschiedene Meinungen vertreten und diskutieren. Also tut euch den Gefallen und schiebt nicht gleich bei nächster Gelegenheit den Thread in die Versenkung nur weil man sich hier anmasst eine Diskussion zu führen...
 
#14
T

Tikonteroga

Dabei seit
23.05.2005
Beiträge
1.969
ZITAT(Tobias28 @ 08.04.2006, 12:14) Quoted post
Ja .Ich bin im privaten Bereich schon lange von M$ unabhängig... es geht auch ohne Windows.
[/b]
Schön. Ich bin von Linux schon immer unabhängig, denn geht aber auch mit Windows, also was soll der Sch...? :nixweis

ZITAT(Tobias28 @ 08.04.2006, 12:14) Quoted post
Mir kommen die Tränen... armes M$. Wenn ich mir das oder das ansehe komme ich ziemlich schnell zu dem Schluss, das M$ alles andere als knapp bei Kasse ist...
[/b]
Immer wieder schön, wenn man eigene Argumente wieder und immer wieder bringen kann. :hehe

Auch wenn Microsoft Weltmatktführer ist und über sehr viel Kapital verfügen mag, heisst das nicht dass die unbegrenzt Gelder zur verfügung stellen können... Solange du die genauen Finanzen, die Kosten und Ausgaben und was weiss ich noch alles nicht kennst, solltest du dich etwas zurückhalten so eine Art von Urteil zu fällen. Von etwas nicht wirklich die volle Ahnung zu haben, dann aber etwas scharf zu kritisieren und zu meinen man wüsste es besser, ist nicht gerade ein guter Charakterzug.

ZITAT(Tobias28 @ 08.04.2006, 12:14) Quoted post
Es ist ja nun nicht wirklich ein neues Problem mit den Sicherheitslücken... oder willst du mir erzählen, dass M$ seit Jahren darüber nachdenkt wie sie die Sicherheitspolitik verbessern können? Nein. M$ regt sich traditionell nur wenn der Aufschrei in der Öffentlichkeit so groß ist, dass es dem eigenen Ruf/Umsatz schadet...
[/b]
Naja, die Einführung des Microsoft Patchday jeden 2. Dienstag eines Monats muss auch nicht unbedingt schlecht sein. Klar für dich und auch für mich, das gebe ich zu, sieht es halt so aus, dass der Patch spät kommt. Über Qualitätssicherung will jetzt auch nix mehr sagen, das habe ich schon. Aber es gibt halt z. B. sehr viele Menschen die nicht täglich auf Heise.de die News lesen oder sich den ganzen Tag in Foren herumtreiben. Wenn die wissen, dass es an einem bestimmten Tag im Monat Updates von Microsoft gibt. Dann ist die Warscheinlichkeit sehr hoch, dass die ihn jeden 2. Dienstag eines Monats (diesen Termin kann man sich leicht merken und ist auch unabhängig davon wie lange ein Monat ist und an welchem Wochentag ein Monat beginnt, usw.) herunterladen und installieren und nicht erst später. Es ist ja auch ein großes Problem, dass viele schon veröffentlichte Sicherheitsupdates geschweige denn das Service Pack 2 nicht installiert haben...

Klar ich stimm dir zu, dass eine Dauer von einem Monat zwischen den Patchdays sehr lang sein kann. Vorallem wenn eine neue Sicherheitslücke bereits kurz nach einem Patchday entdeckt wurde. Man könnte die Zeit zwischen den Patchdays verkürzen, sinnvoll wäre dann z. B. jeden Dienstag, aber dann würden viele Patchdays leer ausfallen und man würde sie nicht mehr ernst nehmen...

Und noch was zur aktuellen Lücke. Der status "kritisch" bedeutet glaube ich dass der schadhafte Code ohne Interaktion mit dem Anwender ausgeführt werden kann, oder so ähnlich. Es heisst aber nicht, dass die Wahrscheinlichkeit sehr groß ist, dass einem der schadhaften Code auch untergeschoben wird. Du hast glaub mal was von 200 infizierten Websiten erzählt bzw. zitiert. Inzwischen sind es vielleicht 500 - keine Ahnung. Gehe mal davon aus, es gäbe 1 000 000 000 Websites. Davon sind 500 infiziert.

500 / 1 000 000 000 * 100 = 0,00005 %

Klar die Zahlen werden nicht stimmen und die Rechnung ist auch sehr vereinfacht - womöglich hab ich mich noch verechnet :blush , aber man sieht halt in etwa wie groß die potentielle bzw. reelle Gefahr der Sicherheitslücke ist- nicht mal 1%, geschweige denn 0,1%. Deshalb hat Microsoft den Patch nicht vorher veröffentlicht.

Es wird auch immer alles sehr von der Presse aufgebauscht, weil das Interesse nach diesem Thema gerade sehr groß ist. Und einige haben da vielleicht etwas falsche Vorstellungen, vorallem die, die Windows bzw. den Internet Explorer nicht benutzen.

ZITAT(Tobias28 @ 08.04.2006, 12:14) Quoted post
Ja, es gab bestimmte Unterschiede. Aber das war kein Problem, da man den inoffiziellen Patch auch noch nachdem der offizielle Patch bereits eingespielt war problemlos über Systemsteuerung->Software deinstallieren konnte.
[/b]
Von Microsoft gab es soweit ich mich erinnere auch einen vorübergehenden Workaround, ich glaube sogar mit Anleitung... War glaube ich sogar auch etwas ausführbares oder ein Befehl in der Eingabeaufforderung.
 
#15
T

Tobias28

Dabei seit
21.09.2005
Beiträge
853
ZITAT(Tikonteroga @ 08.04.2006, 15:19) Quoted post
Schön. Ich bin von Linux schon immer unabhängig, denn geht aber auch mit Windows, also was soll der Sch...? :nixweis
[/b]
Das würde ich jetzt nicht als Unabhängigkeit bezeichnen!

ZITATImmer wieder schön, wenn man eigene Argumente wieder und immer wieder bringen kann.
Auch wenn Microsoft Weltmatktführer ist und über sehr viel Kapital verfügen mag, heisst das nicht dass die unbegrenzt Gelder zur verfügung stellen können... Solange du die genauen Finanzen, die Kosten und Ausgaben und was weiss ich noch alles nicht kennst, solltest du dich etwas zurückhalten so eine Art von Urteil zu fällen. Von etwas nicht wirklich die volle Ahnung zu haben, dann aber etwas scharf zu kritisieren und zu meinen man wüsste es besser, ist nicht gerade ein guter Charakterzug.
[/b]
Und was soll das wortwörtliche Wiederholen deiner Argumente bringen? Glaubst du dadurch werden sie wahrer?
Und ja, ich maße mir an, M$ zu kritisieren, schließlich bin ich immernoch Kunde von deren Produkten (auch wenn ich sie meide wo immer es geht). Die meisten Verbraucher werden wohl wenig Informationen über Kosten und Ausgaben von M$ bekommen - aber das ist nicht entscheidend. Entscheidend ist, dass JEDER, der Kunde von M$ ist und für Produkte bezahlt hat berechtigt ist diese zu kritisieren. Von wegen "Charakterzug": Glaubst du M$ hat Charakter? Das ist ein knallhartes Unternehmen, das weder deiner Verteidigung noch deines Mitgefühls bedarf... wenn man dich so anhört könnte man gerade meinen dein persönliches Wohlergehen hängt vom Rufe M$s ab.
ZITAT
Naja, die Einführung des Microsoft Patchday jeden 2. Dienstag eines Monats muss auch nicht unbedingt schlecht sein. Klar für dich und auch für mich, das gebe ich zu, sieht es halt so aus, dass der Patch spät kommt. Über Qualitätssicherung will jetzt auch nix mehr sagen, das habe ich schon. Aber es gibt halt z. B. sehr viele Menschen die nicht täglich auf Heise.de die News lesen oder sich den ganzen Tag in Foren herumtreiben. Wenn die wissen, dass es an einem bestimmten Tag im Monat Updates von Microsoft gibt. Dann ist die Warscheinlichkeit sehr hoch, dass die ihn jeden 2. Dienstag eines Monats (diesen Termin kann man sich leicht merken und ist auch unabhängig davon wie lange ein Monat ist und an welchem Wochentag ein Monat beginnt, usw.) herunterladen und installieren und nicht erst später. Es ist ja auch ein großes Problem, dass viele schon veröffentlichte Sicherheitsupdates geschweige denn das Service Pack 2 nicht installiert haben...
[/b]
Betrachten wir doch mal nur User mit legalen Lizenzen. Die müssen nur einmal das automatische Update aktivieren und dann kann M$ wann immer es will neue Updates installieren... Ok, für User mit illegalen Lizenzen ist das nicht so einfach aber das ist dann deren Problem, schließlich gibt es ja zum Bsp. Winboard-Update Packs oder ähnliches.
Allgemein ist die Idee mit monatlichem Patchday ja nicht schlecht, schlecht ist aber wenn sich dadurch die Bereitstellung eines dringend erfoderlichen Patches verzögert. Und ja dringend ist nicht erst wenn 1 000 000 Webseiten infiziert sind, dringend ist es indem Moment in dem bekannt ist, dass die Sicherheitslücke gefährlich ist. Außerdem sind inzwischen auch Phishing Emails unterwegs, die auf preparierte Seiten, die die Sicherheitslücke ausnutzen locken. Die Milchmädchenrechnung, dass 200 infizierte Seiten relativ wenig sind gilt spätestens damit nicht mehr, da der User ja dorthin gezielt gelockt wird.
ZITATEs wird auch immer alles sehr von der Presse aufgebauscht, weil das Interesse nach diesem Thema gerade sehr groß ist. Und einige haben da vielleicht etwas falsche Vorstellungen, vorallem die, die Windows bzw. den Internet Explorer nicht benutzen.[/b]
Das nicht unbedingt etwas mit aufbauschen zu tun. Schau doch mal http://www.hijackthis-forum.de.
ZITATDie Anzahl unserer Forums-Besucher beläuft sich zur Zeit auf etwa 7600 User pro Tag und täglich bitten uns 30-50 Menschen um Auswertung ihrer Logfiles - Tendenz steigend![/b]
Und ich denke auch das sollte einleutend sein - nicht jeder hat schon mal was von einem eingeschränkten Konto gehört - umso wichtiger sind zeitnahe sicherheitskritische Patches von M$...
ZITATVon Microsoft gab es soweit ich mich erinnere auch einen vorübergehenden Workaround, ich glaube sogar mit Anleitung... War glaube ich sogar auch etwas ausführbares oder ein Befehl in der Eingabeaufforderung.
[/b]
Ja das gabs aber dieser Workaround konnte umgangen werden, da die Programmbibliothek noch immer geladen werden konnte bzw. andere Programme die Bibliothek wieder registrieren konnten. nachlesen!
 
#16
Creeping Death

Creeping Death

Dabei seit
04.06.2005
Beiträge
819
Ort
Badnerland
Ich sehe die Sache so:
Jedes Betriebssystem, welches dem Benutzer ermöglicht in's Internet zu gelangen, ist anfällig für Angriffe welcher Art auch immer.
Auch Linux wird regelmäßig mit Patches versorgt.
Da Browser der Hauptangriffspunkt sind, muss diesen auch besondere Beachtung geschenkt werden. Es ist ja wohl allen hier bekannt, dass selbst der Firefox und Opera permanent mit Updates auf den neuesten Stand gebracht werden müssen.
Was man auch nicht vergessen darf ist, dass teils eine ganz erhebliche Zeitspanne vergeht, bis diese Updates für die deutschen Versionen vorhanden sind. Immerhin ist für viele Anwender eine englischsprachige Version absolut inakzeptabel.

Was ich Microsoft raten würde ist, dass bei einer Sicherheitslücke wie wir sie im Moment haben, auf dem Desktop ein Mitteilungsfenster eingeblendet wird das dem Benutzer signalisiert, dass es ein Problem gibt und wie gefährlich dieses ist.
Gleichzeitig könnte da sowas stehen wie: "Bis wir dieses Problem gelöst haben, deaktivieren Sie für unbekannte Seiten bitte ActiveX." (oder etwas Ähnliches).
 
#17
Eric-Cartman

Eric-Cartman

Moderator
Threadstarter
Team
Dabei seit
22.06.2005
Beiträge
8.628
Alter
38
Ort
In Windows Nr. 10
nönö Tobias ich mach das thema net zu oder lösche es so lange sich kein streit draus entwickelt ist alles OK :up
 
#19
T

Tobias28

Dabei seit
21.09.2005
Beiträge
853
ZITAT(djcopy02 @ 08.04.2006, 22:16) Quoted post
Leute wenn ihr euch nicht benehmen könnt gibbet Ärger.
Eure Streiterrein könnt ihr über ICQ oder PN aus diskutieren.
[/b]
Hast du überhaupt die Beiträge gelesen? Dann zitiere mal wo sich hier jemand nicht benimmt. djcopy02, in letzter Zeit wirken deine Kommentare öfters mal seltsam unpassend... vielleicht solltest du mal ne kleine Winboard-Pause (a la SuperTux :D ) einlegen...

ZITAT(Eric-Cartman @ 08.04.2006, 21:47) Quoted post
nönö Tobias ich mach das thema net zu oder lösche es so lange sich kein streit draus entwickelt ist alles OK :up
[/b]
Danke.. find ich klasse.
 
Thema:

Microsoft: Patches für gefährliche Lücken kommen am Dienstag

Microsoft: Patches für gefährliche Lücken kommen am Dienstag - Ähnliche Themen

  • Microsoft Patch Day bringt 9 neue Updates für 56 Schwachstellen

    Microsoft Patch Day bringt 9 neue Updates für 56 Schwachstellen: Der Februar-Patch-Day von Microsoft kommt mit insgesamt neun Sicherheitsupdates um ganze 56 bekannte Schwachstellen schließen zu können. Von den...
  • Anti-Flame-Patches für Microsofts Update-Services

    Anti-Flame-Patches für Microsofts Update-Services: Hallo. Quelle und ganzer Bericht auf Heise.de
  • Microsoft kündigt Patches für 34 Lücken an

    Microsoft kündigt Patches für 34 Lücken an: Quelle und ganzer Bericht bei Heise.de
  • Microsoft-Patch für Zero-Day-Lücke in IE6 und IE7 erscheint heute

    Microsoft-Patch für Zero-Day-Lücke in IE6 und IE7 erscheint heute: Ab 19 Uhr deutscher Zeit soll der Patch verfügbar sein. Das Update schließt insgesamt zehn Schwachstellen im Microsoft-Browser. Eine davon...
  • Patch-Panne - Microsoft-Update sorgt für chinesische Texte

    Patch-Panne - Microsoft-Update sorgt für chinesische Texte: Microsoft hat eingeräumt, dass ein Sicherheits-Update für Excel ungewollte Nebenfolgen hat. So erscheinen die Texte eines wichtigen...
  • Ähnliche Themen

    Oben