Marc Maiffret, 21 Jahre alte Security-Wunderknabe und Chef-Hacker von eEye Digital Security, sieht die Ursache für die Sicherheitsprobleme nicht in altem Code. Er sagte, dass die Schuld bei Programmierern liege, die Code vor seiner Verwendung nicht prüfen. „Alter Code enthält vielleicht mehr Sicherheitslücken – allerdings sollten diese zu finden sein“, so Maiffret.
„Beim meisten aktuellen Programm-Code wurde stärker auf die Sicherheit geachtet“, sagte Maiffret, „und auch die Abwärtskompatibilität stellt kein Problem dar, wenn sie fehlerfrei ausgeführt wird.“
Und genau das ist das Problem von Microsoft. Ein Feature, das dem Internet Explorer die Kommunikation zu Servern ermöglicht, die Gopher nutzen (ein Protokoll für die Verknüpfung von Daten mit Hyperlinks aus den Anfangstagen des Internets), weist eine Sicherheitslücke auf, über die Angriffe auf PCs ausgeführt werden könnten, so ein finnischer Forscher vergangene Woche.
GopherSpace, so der Name des Server-Netzwerks, das das Gopher-Protokoll unterstützt, besteht laut einer von der Point Loma Nazarene University betriebenen Gopher-Website aus knapp 600 Rechnern mit weniger als 8 Millionen Links. Zum Vergleich: Der Suchmaschine Google zufolge besteht das Internet aus mehr als 2 Milliarden Seiten.
„Während Microsoft noch immer diese Behauptungen prüft, führte die ,Trustworthy Computing‘-Initiative bereits dazu, dass sich Projektmanager fragen, welchen Sinn die Unterstützung dieses kaum genutzten Protokolls hat“, so Steve Lipner von Microsoft.
„Gopher zählt zu den Funktionen, die im kommenden Windows XP Service Pack 1 standardmäßig deaktiviert sein sollen“, sagte Lipner. Die Offenlegung des offensichtlichen Software-Fehlers kam dem Update von Microsoft zwar zuvor, aber Lipner wies darauf hin, dass diese Designänderungen zeigten, dass die Initiative sich bezahlt mache. „Wir haben die richtigen Fragen gestellt“, sagte er.
Lipner wollte keine weiteren Features nennen, die aus dem Verkehr gezogen werden sollen. Ebenso verriet er nicht, welcher Anteil an Windows XP aus altem Code besteht, und wie viel neuen Code das System enthält. Stattdessen erläuterte er, dass es Teil der Sicherheitsstrategie des Unternehmens sei, von den schlimmstmöglichen Angriffen gegen seinen Code auszugehen, um so ein „Gefahrenmodell“ zu erstellen. Daraufhin würde nach Sicherheitslücken gesucht, die einem entsprechenden Angriff nicht gewachsen wären.
„Unsere Entwickler und Tester prüfen und testen den Code, der im jeweiligen Gefahrenmodell als besonders anfällig erkannt wurde“, so Lipner.
Laut Lipner dauern diese Arbeiten an, denn: „Sicherheit ist keine leichte Aufgabe.“
Page: 1 2
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…
Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.
Schon im April 2025 soll Android 16 den Status Plattformstabilität erreichen. Entwicklern gibt Google danach…
Die Hintermänner setzen KI-Chatbot-Tools als Köder ein. Opfer fangen sich den Infostealer JarkaStealer ein.
Vernetzte Produkte müssen laut Cyber Resilience Act über Möglichkeiten zur Datenverschlüsselung und Zugangsverwaltung verfügen.
Das jüngste Update für Windows, macOS und Linux stopft drei Löcher. Eine Anfälligkeit setzt Nutzer…