Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 20 von 24
  1. #1
    gulli:News Redaktion Avatar von gullinews
    Registriert seit
    Apr 2002
    Beiträge
    10.034
    Danksagungen
    8

    Standard Windows: SSL-Schwachstelle noch immer ungepatcht (Update)

    Ein vor neun Wochen bekannt gewordener Bug in der CryptoAPI von Windows, der es Cyberkriminellen ermöglicht, Surfern gefälschte SSL-Zertifikate unterzuschieben, ist offenbar noch immer nicht behoben.

    Die CryptoAPI ist eine Schnittstelle, auf die viele Programme, darunter auch Webbrowser, für die Überprüfung von SSL-Zertifikaten zurückgreifen. Durch den Fehler an dieser Stelle werden die Anwendungen, die die CryptoAPI nutzen, anfällig für Angriffe. Im Falle eines Webbrowsers können dem Benutzer gefälschte Zertifikate untergeschoben werden. So können dem Benutzer legitime Websites, VPN-Dienste und Mailserver vorgetäuscht werden.

    weiterlesen

  2. #2
    Mitglied Avatar von Cayenne
    Registriert seit
    Jan 2007
    Ort
    /usr/bin/from
    Beiträge
    1.738
    Danksagungen
    40

    Standard Re: Windows: SSL-Schwachstelle noch immer ungepatcht

    Neun Wochen ... Schön schön. Wie gut, dass ich Firefox verwende.
    Wie sieht es eigentlich mit Opera aus? Darüber wird ja im Artikel nichts gesagt.

  3. #3
    Mitglied
    Registriert seit
    Oct 2007
    Beiträge
    93
    Danksagungen
    0

    Standard Re: Windows: SSL-Schwachstelle noch immer ungepatcht

    Für die Benutzer, die momentan mit unsicheren Browsern unterwegs sind, dürfte das jedoch kein Trost sein.
    keine angst, die werden nie erfahren das ihr brauser unsicher ist....

  4. #4
    deaktivierter Nutzer
    deaktiviertes Benutzerkonto

    Standard Re: Windows: SSL-Schwachstelle noch immer ungepatcht

    Kann mir einer sagen, warum der Ie so verbuggt ist und Ff nicht?

    o.O die frage ist ernst gemeint.

  5. #5
    Mitglied
    Registriert seit
    Sep 2005
    Beiträge
    165
    Danksagungen
    10

    Standard Re: Windows: SSL-Schwachstelle noch immer ungepatcht

    @zayn:
    Der Firefox ist Open Source(=viele Programmierer & Helfer) und kostenlos/Plattform unabhängig(=viele Benutzer, die Bugs finden) wehrend der IE Closed Source(=Nur MS kann Bugs Beheben) und läuft nur mit Windows(=kleinere/weniger professionelle Community).

    @Topic: Ich erfreue mich dann weiter an meinem SUSE und meinem Firefox.

    mfg.
    night

  6. #6
    Mitglied Avatar von Annika_Kremer
    Registriert seit
    Aug 2008
    Beiträge
    4.840
    NewsPresso
    166 (Virtuose)
    Danksagungen
    2

    Standard Re: Windows: SSL-Schwachstelle noch immer ungepatcht

    Zitat Zitat von the_Night22
    @zayn:
    Der Firefox ist Open Source(=viele Programmierer & Helfer) und kostenlos/Plattform unabhängig(=viele Benutzer, die Bugs finden) wehrend der IE Closed Source(=Nur MS kann Bugs Beheben) und läuft nur mit Windows(=kleinere/weniger professionelle Community).
    An sich zutreffend, aber in diesem Fall ist das nicht der Punkt. Es geht vielmehr um Folgendes: Chrome, IE und Safari benutzen die Krypto-Funktionen des Betriebssystems, die momentan verbuggt sind. Firefox dagegen bringt seine eigenen mit, die mittlerweile nicht mehr verbuggt sind. Hat nichts mit Open- oder Closed-Source zu tun.

    Die Frage bezüglich Opera kann ich leider auch nicht beantworten, dazu habe ich bisher nichts gefunden. Sollte ich doch noch etwas dazu erfahren, schreibe ich es hier 'rein.

  7. #7
    Mitglied Avatar von Toronto
    Registriert seit
    May 2007
    Ort
    Münsterland
    Beiträge
    2.547
    Danksagungen
    86

    Standard Re: Windows: SSL-Schwachstelle noch immer ungepatcht

    MS kann hier kein Vorwurf gemacht werden..
    Durch den massiven Einsatz von Windows als Serverbetriebssystem ist ein Fehler in der CryptoAPI ein *bisschen* schwieriger zu beheben, als es sich anhört.... MS muss nun einen Patch bauen, der zu 110% den Fehler behebt und keine weiteren Fehler erzeugt. Neun Wochen inklusive Testzeiträume halte ich da noch nicht für kritisch.

  8. #8
    Mitglied
    Registriert seit
    Oct 2007
    Beiträge
    70
    Danksagungen
    0

    Standard Re: Windows: SSL-Schwachstelle noch immer ungepatcht

    Ich habe etwas zu Opera gefunden. Ist zwar nicht zu diesem Thema, aber:

    Firefox und Opera benutzen eigene Krypto-Bibliotheken.

  9. #9
    Mitglied
    Registriert seit
    Mar 2007
    Beiträge
    137
    Danksagungen
    0

    Standard Re: Windows: SSL-Schwachstelle noch immer ungepatcht

    Zitat Zitat von Toronto
    MS kann hier kein Vorwurf gemacht werden..
    Durch den massiven Einsatz von Windows als Serverbetriebssystem ist ein Fehler in der CryptoAPI ein *bisschen* schwieriger zu beheben, als es sich anhört.... MS muss nun einen Patch bauen, der zu 110% den Fehler behebt und keine weiteren Fehler erzeugt. Neun Wochen inklusive Testzeiträume halte ich da noch nicht für kritisch.
    Man kann sich alles schönreden aber Neun Wochen halte ich für äußerst kritisch, andere kriegen das mit ähnlichen Abhängigkeiten viel schneller gebacken, also kann man Microsoft durchaus einen Vorwurf machen!

  10. #10
    Gesperrt Avatar von Ghandy
    Registriert seit
    Jun 2006
    Ort
    Wo es mir gefällt!
    Beiträge
    7.171
    NewsPresso
    318 (Phänomen)
    Danksagungen
    30

    Standard Re: Windows: SSL-Schwachstelle noch immer ungepatcht

    Doch, der Vorwurf ist IMHO korrekt! 9 Wochen ist ja keine so kurze Zeitspanne.
    Geändert von Ghandy (02. 10. 2009 um 11:21 Uhr)

  11. #11
    Mitglied Avatar von Acacia
    Registriert seit
    Mar 2006
    Beiträge
    278
    Danksagungen
    0

    Standard Re: Windows: SSL-Schwachstelle noch immer ungepatcht

    naja,bei dem mitarbeiterstab den microsoft zur verfügung hat,sollte man schon meinen,das die das in 9wochen schaffen können.die werden wohl zu sehr mit ihrem 7 launch beschäftigt sein.ich nutze opera/firefox.der explorer ist mir zu nervig.

  12. #12
    Mitglied Avatar von Toronto
    Registriert seit
    May 2007
    Ort
    Münsterland
    Beiträge
    2.547
    Danksagungen
    86

    Standard Re: Windows: SSL-Schwachstelle noch immer ungepatcht

    Zitat Zitat von M!W
    Man kann sich alles schönreden aber Neun Wochen halte ich für äußerst kritisch, andere kriegen das mit ähnlichen Abhängigkeiten viel schneller gebacken, also kann man Microsoft durchaus einen Vorwurf machen!
    Welche Andere?
    Neun Wochen sind gerade einmal 2 1/2 Monate - das ist nichts.
    Es geht wie gesagt um eine kritische Anwendung - bevor du 2Milliarden Server zerlegst, möchtest du doch sicher gehen, dass das auch funktioniert.
    MS setzt hier einfach ausgesprochen hohe Qualitätsstandards für sich selbst.
    Weiterhin: Wenn ein Bug reported wird, müssen die Entwickler erstmal suchen woran es denn wohl liegen könnte.
    Ihr könnt doch gar nicht wissen, was nun wie genau in der API falsch läuft.
    Es ist doch wahrscheinlich, dass er tief verwurzelt ist und nun ein Teil der API umgeschrieben werden muss.

    Gerechtfertig wäre der Vorwurf, dass ein derartiger Bug nicht auftreten darf. Hier wurde in der Grundkonstruktion der API etwas übersehen/Mist gebaut, hier ist der Vorwurf angebracht!

  13. #13
    Mitglied Avatar von suppaman2
    Registriert seit
    Jan 2006
    Ort
    Linux Heaven
    Beiträge
    740
    Danksagungen
    97

    Standard Re: Windows: SSL-Schwachstelle noch immer ungepatcht

    Zitat Zitat von the_Night22
    [...] und läuft nur mit Windows(=kleinere/weniger professionelle Community).
    Dass Windows Community kleiner ist als bei anderen Betriebssystemen wäre mir neu.

    Zitat Zitat von Annika_Kremer
    Es geht vielmehr um Folgendes: Chrome, IE und Safari benutzen die Krypto-Funktionen des Betriebssystems, die momentan verbuggt sind. Firefox dagegen bringt seine eigenen mit, die mittlerweile nicht mehr verbuggt sind.
    Nur, weil im Moment kein Bug bekannt ist, heißt das nicht, dass der Code fehlerfrei ist.

  14. #14
    Mitglied Avatar von Annika_Kremer
    Registriert seit
    Aug 2008
    Beiträge
    4.840
    NewsPresso
    166 (Virtuose)
    Danksagungen
    2

    Standard Re: Windows: SSL-Schwachstelle noch immer ungepatcht

    Ihr nehmt es aber ganz genau hier "in dem der angesprochene Bug nicht mehr drin ist".

  15. #15
    Mitglied Avatar von suppaman2
    Registriert seit
    Jan 2006
    Ort
    Linux Heaven
    Beiträge
    740
    Danksagungen
    97

    Standard Re: Windows: SSL-Schwachstelle noch immer ungepatcht

    Vor allem bei Sicherheitssoftware muss man auch genau sein :P

  16. #16
    Gesperrt
    Registriert seit
    Feb 2008
    Beiträge
    4.659
    Danksagungen
    327

    Standard Re: Windows: SSL-Schwachstelle noch immer ungepatcht

    MS kann hier kein Vorwurf gemacht werden..
    Durch den massiven Einsatz von Windows als Serverbetriebssystem ist ein Fehler in der CryptoAPI ein *bisschen* schwieriger zu beheben, als es sich anhört....
    Nicht? Dann lies doch einfach noch mal.

    Im Falle eines Webbrowsers können dem Benutzer gefälschte Zertifikate untergeschoben werden. So können dem Benutzer legitime Websites, VPN-Dienste und Mailserver vorgetäuscht werden.
    Welcher Benutzer ist mit seinem Webbrowser, der auf einem Serverbetriebssystem unterwegs?
    Oder anders gefragt: Seit wann ist bspw. XP oder Vista ein Serverbetriebssystem?

  17. #17
    Mitglied Avatar von Mr.Harmlos
    Registriert seit
    Mar 2006
    Beiträge
    1.752
    Danksagungen
    5

    Standard Re: Windows: SSL-Schwachstelle noch immer ungepatcht (Update)

    haha die Meisten seitenbetreiber schaffen es nochnichteinmal ihre Domain richtig in die Zertifikate einzutragen ...

    und da sollen die user checken wann ein zertifikat falsch ist geschweige denn wann und wo das gefährlich wäre ... hahahahaha ... sorry ...aber das ist lustig ... not.

    @opera

    Opera und Safari ignorieren das Nullzeichen und fügen die beiden Domains einfach zusammen.
    http://www.heise.de/security/meldung...rt-748883.html

  18. #18
    Mitglied Avatar von Farzi
    Registriert seit
    Aug 2008
    Beiträge
    1.245
    Danksagungen
    0

    Standard Re: Windows: SSL-Schwachstelle noch immer ungepatcht (Update)

    Neun Wochen sind für nen Hotfix echt zu viel!

    Es ist schon klar, dass man für einen sauberen Patch je nach Schwere (Verwurzlungstiefe) des Problems auch mal mehrere Monate brauchen darf. Aber normalerweise patcht man dann halt erst mal das, was man schon gefunden hat und sucht dann weiter.

    Interessant finde ich völlig unabhängig von der Trägheit Microsofts, dass ähnliche Fehler auch im SSL-Handling anderer Hersteller bereits gefunden und behoben wurden.

    Sicherheit wird allgemein in der Softwarebranche noch nicht so wirklich ernst genommen. Das ändert sich nur langsam - aber wenigstens ändert es sich überhaupt.


    Firefox und Opera haben ihre Fehler (ja, auch die Open-Source und die anderen Closed-Source-Leute machen Fehler) in ihren SSL-Implementierungen zum Glück schon behoben. Bleibt abzuwarten, wann Microsoft endlich nachzieht - und wann wir den nächsten Sicherheits-GAU serviert bekommen...

  19. #19
    Mitglied Avatar von sadbydefinition
    Registriert seit
    Jun 2009
    Beiträge
    142
    Danksagungen
    0

    Standard Re: Windows: SSL-Schwachstelle noch immer ungepatcht (Update)

    Schade, daß das Wildcard-Cert im IE nicht funzt, sonst würden sie vielleicht noch schneller handeln

  20. #20
    deaktivierter Nutzer
    deaktiviertes Benutzerkonto

    Standard Re: Windows: SSL-Schwachstelle noch immer ungepatcht (Update)

    eigentlich, wenn es microsoft wirklich darum ginge seinen kunden den bestmöglichen service zu bieten, müssen sie einen vorabpatch herausbringen der per automatischem update den usern (dau-kompatibel) mitteilt das die benutzung des ie im moment ein sicherheitsrisiko darstellt und das sie, bis ein patch vorhanden ist, einen anderen browser (mit eigener cryptoapi) verwenden sollten.

    aber wie auch andere gewinnorientierte unternehmen verkauft microsoft nicht nur ein betriebssystem, sondern eine image von erfolg, effiziens und genereller sophisticatedness die das zugeben von fehlern und deren logische behandlung verhindert.

  21.  
     
     
Seite 1 von 2 12 LetzteLetzte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •