Schon länger als einige von Ihnen leben, predige ich das Evangelium der Verwendung sicherer Desktop-Betriebssysteme. Wissen Sie, Windows ist unsicher, seit 1985 Windows 1.0, eigentlich eine MS-DOS-Erweiterung, auf den Markt kam. Damals wie heute gab es sicherere Optionen. Damals waren es Unix-Desktop-Betriebssysteme. Heute sind es die Linux-Desktops.
Warum hat sich Microsoft nie um die Sicherheit gekümmert? Das grundlegende Problem ist, dass Windows nie für den Einsatz in einem Netzwerk gedacht war. Es funktionierte als eigenständiges PC-Betriebssystem. Und selbst heute, 37 Jahre später, tauchen immer noch die gleichen Probleme aus der Zeit vor dem Internet auf. Unix und Linux gingen von der Prämisse aus, dass es mehr als einen Benutzer auf dem System gibt und dass man Konten und Programme vor anderen Benutzern, ob lokal oder remote, schützen muss. Damit haben diese Betriebssysteme gute Erfahrungen gemacht.
Außerdem behaupten die Entwickler aus Redmond zwar, dass sie den Windows-Code von Grund auf neu schreiben, um ihn sicherer zu machen. Aber das tun sie nicht.
Nehmen Sie zum Beispiel die kürzlich von Microsoft gepatchte Zero-Day-Schwachstelle CVE-2022-41128 (Remotecodeausführung durch Windows-Skriptsprachen), die mit einer CVSS-Bewertung (Common Vulnerability Scoring System) von 8,8 als besonders gefährlich eingestuft wird. Es handelt sich um eine Sicherheitslücke in der Windows JavaScript-Skriptsprache. Genauer gesagt handelt es sich um eine Lücke in der JScript9-JavaScript-Engine von Internet Explorer (IE) 11.
Es ist eine bösartige Lücke. Sie betrifft jede derzeit unterstützte Version von Windows. Dazu gehören alle Versionen von Windows 8.1 bis hin zu den verschiedenen Windows-Servern und Windows 11. Seit seinem Auftauchen haben nordkoreanische Hacker die Schwachstelle ausgenutzt, um südkoreanische Nutzer mit Malware zu infizieren.
Dabei wird den Opfern ein bösartiges Dokument vorgelegt. Wenn ein Unschuldiger das Dokument öffnet, lädt es eine RTF-Vorlage (Rich Text File) herunter. Das darin enthaltene HTML wird dann von der IE-Engine gerendert. Und dann haben Sie einen Fall von Malware oder anderer Malware.
Die Google Threat Analysis Group (TAG), die den Schädling entdeckt hat, sagt: „Diese Technik wird seit 2017 häufig verwendet, um IE-Exploits über Office-Dateien zu verbreiten. Die Verbreitung von IE-Exploits über diesen Vektor hat den Vorteil, dass das Ziel nicht den Internet Explorer als Standardbrowser verwenden muss.“
Oh, Leute, es ist so, so viel älter als das. Ich habe diese Art von Problem 1992 in der lange nicht mehr existierenden Zeitschrift PC Sources beschrieben, als ich es in Windows for WorkGroup 3.1 fand. Damals wie heute behandelten Windows und seine nativen Programme Dokumentdaten als Programmieranweisungen.
Aus diesem Grund ist laut Atlas VPN „Microsoft Office nach wie vor die am häufigsten genutzte Software für die Verbreitung von Malware.“ Wie schlimm ist es? Versuchen Sie es mit 78,5 % aller Angriffe. Office auf Ihrem PC, Office 365, das spielt keine Rolle. Sie sind alle anfällig für Angriffe.
Was ist denn nun der Elefant im Raum, den ich noch nicht erwähnt habe? Der IE wurde im Juni 2022 abgeschafft. Er wurde durch Microsoft Edge ersetzt.
Warum zum Teufel sind also alle Windows-Versionen Ende 2022 für einen IE-Angriff anfällig? Ist das nicht Geschichte? Ich meine, der IE war sowieso nie in Windows 11 enthalten. Das sollte man meinen, aber egal, welche Version von Windows Sie verwenden, die IE-Engine ist immer noch in Windows enthalten und immer noch bereit, JavaScript-Angriffe auszuführen.
Die grundlegenden Sicherheitsmängel von Windows sind nie behoben worden. Sie werden es auch nie sein. Die Abwärtskompatibilität ist für Microsoft viel wichtiger als die Sicherheit. Also spielt das Unternehmen weiterhin Flickschusterei.
Wenn Sie, wie ich, Sicherheit über Abwärtskompatibilität stellen, werden Sie Linux verwenden. Im Gegensatz zu dem, was Sie gehört haben, ist Linux nicht so schwer zu bedienen. Aber wenn Sie sich die Mühe nicht machen wollen, kaufen Sie einfach ein Chromebook. Jeder kann ein Chromebook benutzen, und da es auf Linux basiert, ist es auch viel sicherer.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…