Marc Maiffret, 21 Jahre alte Security-Wunderknabe und Chef-Hacker von eEye Digital Security, sieht die Ursache für die Sicherheitsprobleme nicht in altem Code. Er sagte, dass die Schuld bei Programmierern liege, die Code vor seiner Verwendung nicht prüfen. „Alter Code enthält vielleicht mehr Sicherheitslücken – allerdings sollten diese zu finden sein“, so Maiffret.
„Beim meisten aktuellen Programm-Code wurde stärker auf die Sicherheit geachtet“, sagte Maiffret, „und auch die Abwärtskompatibilität stellt kein Problem dar, wenn sie fehlerfrei ausgeführt wird.“
Und genau das ist das Problem von Microsoft. Ein Feature, das dem Internet Explorer die Kommunikation zu Servern ermöglicht, die Gopher nutzen (ein Protokoll für die Verknüpfung von Daten mit Hyperlinks aus den Anfangstagen des Internets), weist eine Sicherheitslücke auf, über die Angriffe auf PCs ausgeführt werden könnten, so ein finnischer Forscher vergangene Woche.
GopherSpace, so der Name des Server-Netzwerks, das das Gopher-Protokoll unterstützt, besteht laut einer von der Point Loma Nazarene University betriebenen Gopher-Website aus knapp 600 Rechnern mit weniger als 8 Millionen Links. Zum Vergleich: Der Suchmaschine Google zufolge besteht das Internet aus mehr als 2 Milliarden Seiten.
„Während Microsoft noch immer diese Behauptungen prüft, führte die ,Trustworthy Computing‘-Initiative bereits dazu, dass sich Projektmanager fragen, welchen Sinn die Unterstützung dieses kaum genutzten Protokolls hat“, so Steve Lipner von Microsoft.
„Gopher zählt zu den Funktionen, die im kommenden Windows XP Service Pack 1 standardmäßig deaktiviert sein sollen“, sagte Lipner. Die Offenlegung des offensichtlichen Software-Fehlers kam dem Update von Microsoft zwar zuvor, aber Lipner wies darauf hin, dass diese Designänderungen zeigten, dass die Initiative sich bezahlt mache. „Wir haben die richtigen Fragen gestellt“, sagte er.
Lipner wollte keine weiteren Features nennen, die aus dem Verkehr gezogen werden sollen. Ebenso verriet er nicht, welcher Anteil an Windows XP aus altem Code besteht, und wie viel neuen Code das System enthält. Stattdessen erläuterte er, dass es Teil der Sicherheitsstrategie des Unternehmens sei, von den schlimmstmöglichen Angriffen gegen seinen Code auszugehen, um so ein „Gefahrenmodell“ zu erstellen. Daraufhin würde nach Sicherheitslücken gesucht, die einem entsprechenden Angriff nicht gewachsen wären.
„Unsere Entwickler und Tester prüfen und testen den Code, der im jeweiligen Gefahrenmodell als besonders anfällig erkannt wurde“, so Lipner.
Laut Lipner dauern diese Arbeiten an, denn: „Sicherheit ist keine leichte Aufgabe.“
Page: 1 2
Ontinue registriert einen Anstieg beim Anteil am Gesamtangriffsvolumen um 105 Prozent. Das Angriffsvolumen auf den…
Das o1 genannte Modell liegt als Preview vor. Bei einer Mathematikprüfung beantwortet es 83 Prozent…
Das Kennzeichen erhalten Zoom Workplace Pro und Zoom Workplace Basic. Es bescheinigt unter anderem aktuelle…
iOS und iPadOS erhalten Tab-Gruppen. Zudem unterstützt Chrome nun die Synchronisierung von Tab-Gruppen.
Sie befürchten einen Missbrauch der Identitäten von Verstorbenen. 60 Prozent befürworten deswegen eine Klärung des…
In einigen Unternehmensbereichen sind angeblich bis zu 30 Prozent der Beschäftigten betroffen. Samsung spricht in…