Marc Maiffret, 21 Jahre alte Security-Wunderknabe und Chef-Hacker von eEye Digital Security, sieht die Ursache für die Sicherheitsprobleme nicht in altem Code. Er sagte, dass die Schuld bei Programmierern liege, die Code vor seiner Verwendung nicht prüfen. „Alter Code enthält vielleicht mehr Sicherheitslücken – allerdings sollten diese zu finden sein“, so Maiffret.
„Beim meisten aktuellen Programm-Code wurde stärker auf die Sicherheit geachtet“, sagte Maiffret, „und auch die Abwärtskompatibilität stellt kein Problem dar, wenn sie fehlerfrei ausgeführt wird.“
Und genau das ist das Problem von Microsoft. Ein Feature, das dem Internet Explorer die Kommunikation zu Servern ermöglicht, die Gopher nutzen (ein Protokoll für die Verknüpfung von Daten mit Hyperlinks aus den Anfangstagen des Internets), weist eine Sicherheitslücke auf, über die Angriffe auf PCs ausgeführt werden könnten, so ein finnischer Forscher vergangene Woche.
GopherSpace, so der Name des Server-Netzwerks, das das Gopher-Protokoll unterstützt, besteht laut einer von der Point Loma Nazarene University betriebenen Gopher-Website aus knapp 600 Rechnern mit weniger als 8 Millionen Links. Zum Vergleich: Der Suchmaschine Google zufolge besteht das Internet aus mehr als 2 Milliarden Seiten.
„Während Microsoft noch immer diese Behauptungen prüft, führte die ,Trustworthy Computing‘-Initiative bereits dazu, dass sich Projektmanager fragen, welchen Sinn die Unterstützung dieses kaum genutzten Protokolls hat“, so Steve Lipner von Microsoft.
„Gopher zählt zu den Funktionen, die im kommenden Windows XP Service Pack 1 standardmäßig deaktiviert sein sollen“, sagte Lipner. Die Offenlegung des offensichtlichen Software-Fehlers kam dem Update von Microsoft zwar zuvor, aber Lipner wies darauf hin, dass diese Designänderungen zeigten, dass die Initiative sich bezahlt mache. „Wir haben die richtigen Fragen gestellt“, sagte er.
Lipner wollte keine weiteren Features nennen, die aus dem Verkehr gezogen werden sollen. Ebenso verriet er nicht, welcher Anteil an Windows XP aus altem Code besteht, und wie viel neuen Code das System enthält. Stattdessen erläuterte er, dass es Teil der Sicherheitsstrategie des Unternehmens sei, von den schlimmstmöglichen Angriffen gegen seinen Code auszugehen, um so ein „Gefahrenmodell“ zu erstellen. Daraufhin würde nach Sicherheitslücken gesucht, die einem entsprechenden Angriff nicht gewachsen wären.
„Unsere Entwickler und Tester prüfen und testen den Code, der im jeweiligen Gefahrenmodell als besonders anfällig erkannt wurde“, so Lipner.
Laut Lipner dauern diese Arbeiten an, denn: „Sicherheit ist keine leichte Aufgabe.“
Page: 1 2
Seine Trainingsdaten umfassen 3,8 Milliarden Parameter. Laut Microsoft bietet es eine ähnliche Leistung wie OpenAIs…
Sie erlaubt eine Remotecodeausführung außerhalb der Sandbox. Betroffen sind Chrome für Windows, macOS und Linux.
Probleme treten vor allem bei Nutzern von Outlook Web Access auf. Das optionale Hotfix-Update für…
Die Einladung zeigt einen zeichnenden Apple Pencil. Der wiederum deutet auf neue iPads hin. Es…
Die Richtlinie erhält 584 Ja-Stimmen und 3 Gegenstimmen. Das „Recht auf Reparatur“ beinhaltet unter bestimmten…
Die Tests basieren auf tatsächlich existierenden Sicherheitslücken. GPT-4 erreicht eine Erfolgsquote von 87 Prozent. Alle…