Falsche Konfiguration ist das Sicherheitsproblem von Microsofts (Börse Frankfurt: MSF) .Net, sagt der Hacker und Senior Sicherheitsberater für digitale Abwehr, H.D. Moore auf der Cansecwest Security Konferenz. So könne das .Net-Gerüst fast jedem sonst bekannten Sicherheitsproblem von Microsoft-Produkten trotzen, doch die Server-Software sei einfach zu leicht falsch zu konfigurieren, besonders seitdem viele der Dokumentationen unsicheres Programmieren lehren würden.
„Es macht keinen Unterschied, wie sicher die Produkte ursprünglich sind, sondern vielmehr, wie man diese programmiert“, sagte Moore. „Den Entwicklern wird beigebracht, in vielen Situationen falsche Sachen zu tun.“
Der Hacker hatte einige Sicherheitslöcher in diversen Komponenten des .Net-Gerüsts gefunden, doch seine Hauptkritik galt den Autoren der Dokumentation von Microsoft. „Die meisten Hilfsmittel für Entwickler sind falsch“, schrieb der Sicherheitsberater in seiner Präsentation, und zählte dabei die fünf bekanntesten ASP.Net-Bücher auf. So hätte jede dieser Publikationen mindestens eines von vielen bekannten Sicherheitsproblemen von .Net nicht berücksichtigt.
So rate beispielsweise Microsofts Developer Network-Dokumentation den Entwicklern eine Datei mit den User-Passwörtern zu generieren und diese an einen vom Web zugänglichen Platz zu legen. Das sei jedoch ein absolutes Sicherheitsfaul.
Vertreter von Microsoft, die nicht zur Konferenz anwesend waren, wollten das Thema überprüfen, wie es hieß. „Das Produkt ist jetzt seit rund vier Monaten auf dem Markt“, sagte der Produktmanager für das .Net-Framework, Mike Kass. Die Dokumentation sei von der Entwicklergemeinde bisher sehr gut aufgenommen worden. Doch wenn es ein Problem gäbe, würde man sich darum kümmern.
Rund zwei Monate nach Veröffentlichung des „.Net Frameworks“ von Microsoft war schon das erste .Net Framework Service Pack 1 auf den Markt präsentiert worden (ZDNet berichtete). Das 1,4 MByte große Softwarepaket besteht laut dem Unternehmen aus vier Patches, die vor allem Sicherheitsprobleme der Version 1.0 von .Net lösen sollen. Entwickler sollen das Paket über MSDN downloaden, können.
Kontakt:
Microsoft, Tel.: 089/31760 (günstigsten Tarif anzeigen)
Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.
Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.