Baron_Stuttgart 10 Geschrieben 25. Juni 2006 Melden Teilen Geschrieben 25. Juni 2006 Auf die Homepage stellen würd ich das eh nicht, aber wenn du dich an den Hersteller wendest wären die dir IMHO eher dankbar als böse. Wer heute die freie Wahl zwischen Linux und UNIX hat, wird wohl eher kein UNIX mehr kaufen, einfach weil diese oft an entsprechenden Hardware "gekoppelt" sind. Solaris läuft nun mal am besten auf SPARC (etc.) Linux und Anwendungen für Linux können "in endlicher Zeit" von x86 auf andere Plattformen portiert werden (bzw. sind bereits portiert). Ich sage nicht, dass diese Portierung kein Geld kostet, ist aber beruhigend zu wissen, dass z.B. ein Mailprogramm aufm Mac genauso (!) aussieht wie aufm PC. Falls mal wieder Schwiegermutter anruft "Hilfe, da geht was nicht". Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 25. Juni 2006 Melden Teilen Geschrieben 25. Juni 2006 Firefox guggt standardmässig (abschaltbar) nach, ebenso Thunderbird (Mailclient aus dem selben "Haus")Acrobat Reader auch (mind. seit Version 5) Flashplayer auch Quicktime auch Ich habe vielleicht eine andere Meinung zu Update-Automatismen als andere hier <-- aber das ist nur meine Meinung Also für einen SOHO Rechner mag das ja schön und gut sein, aber im einer Enterprise Umgebung höffentlich ohne (!) lokale Admin Rechte des Users wird das eher schwieriger, oder nur mit 3rd Party lösbar. Allerdings ist das nicht-Admin sein schon ein Sicherheits Gewinn.;) Zitieren Link zu diesem Kommentar
GerhardG 10 Geschrieben 25. Juni 2006 Melden Teilen Geschrieben 25. Juni 2006 die aufstellung ergibt keinen erkennbaren sinn, was soll diese aufzählung bekannter fakten den bringen? viel interessanter wäre eine auswertung der lücken nach overloards beispielen. microsoft und andere branchengrößen lassen die kunden immer wieder tage/wochen mit offenen scheunentoren stehen (siehe aktuelle 0day lücken...). andere schaffen dies deutlich schneller und ohne millionen bugets für code audit´s. Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 25. Juni 2006 Autor Melden Teilen Geschrieben 25. Juni 2006 microsoft und andere branchengrößen lassen die kunden immer wieder tage/wochen mit offenen scheunentoren stehen Dem muss ich (zumindest was Microsoft betrifft) wiedersprechen. In der Regel werden (bis auf wenige Ausnahmen) Lücken bei MS erst bekannt wenn der Patch veröffentlicht wird. Somit gibt es exakt 0 Tage Wartezeit auf den Patch... ;) Zitieren Link zu diesem Kommentar
Baron_Stuttgart 10 Geschrieben 25. Juni 2006 Melden Teilen Geschrieben 25. Juni 2006 Also für einen SOHO Rechner mag das ja schön und gut sein... Irgendwo hab ich mal die Behauptung (!) gelesen, dass ein riesiger Anteil von Spam durch "gekaperte" Heim-PCs mit Breitbandanschluss versandt wird. Im Enterprise-Umfeld gibt es doch funktionierende Lösungen zur "Verpackung", sodass es nur am Hersteller liegt, den Fehler zu finden, oder zumindest zu fixen. Die Wahl des Herstellers ist also Vertrauenssache. Wer dieses Vertrauen oft genug enttäuscht ... Zitieren Link zu diesem Kommentar
GerhardG 10 Geschrieben 25. Juni 2006 Melden Teilen Geschrieben 25. Juni 2006 Dem muss ich (zumindest was Microsoft betrifft) wiedersprechen. In der Regel werden (bis auf wenige Ausnahmen) Lücken bei MS erst bekannt wenn der Patch veröffentlicht wird. Somit gibt es exakt 0 Tage Wartezeit auf den Patch... ;) bei diesen "wenigen" ausnahmen (kritische lücken wie wmf und co), lässt man sich aber leider gerne mal 2-3 wochen zeit... könnte jemand den threadtitel auf "populäre anwendungen mit kritischen sicherheitslücken" ändern, darum geht es eigentlich in dem bericht... Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 25. Juni 2006 Melden Teilen Geschrieben 25. Juni 2006 Irgendwo hab ich mal die Behauptung (!) gelesen, dass ein riesiger Anteil von Spam durch "gekaperte" Heim-PCs mit Breitbandanschluss versandt wird.Im Enterprise-Umfeld gibt es doch funktionierende Lösungen zur "Verpackung", sodass es nur am Hersteller liegt, den Fehler zu finden, oder zumindest zu fixen. Die Wahl des Herstellers ist also Vertrauenssache. Wer dieses Vertrauen oft genug enttäuscht ... Das ist mir bekannt, ich seh da aber auch ein Problem in den Sicherheits Konzepten der Firmen. Und was die Hersteller betrifft liegt es nicht nur an MS einen guten Job zu machen - die Firmen verdienen auch gutes Geld mit ihren Produkten.... Zitieren Link zu diesem Kommentar
Nocturne 10 Geschrieben 26. Juni 2006 Melden Teilen Geschrieben 26. Juni 2006 Dem muss ich (zumindest was Microsoft betrifft) wiedersprechen. In der Regel werden (bis auf wenige Ausnahmen) Lücken bei MS erst bekannt wenn der Patch veröffentlicht wird. Somit gibt es exakt 0 Tage Wartezeit auf den Patch... ;) Ja, wenn man das Wort bekannt ab dem Zeitpunkt definiert, ab dem der Hersteller den Fehler zugibt. Das ist allerdings eine sehr gewagte Definition dieses Wortes! :suspect: Im Internet sind solche Lücken aber erfahrungsgemäß sehr viel früher bekannt. Besonders in Hackerkreisen. Null Tage Wartezeit? Warum müssen dann sogar andere Firmen Patches herausbringen, die MS offenbar aus Zeitgründen nicht auf die Reihe bekommt? http://www.pctipp.ch/webnews/wn/32859.asp Zwölf Monate und kein Patch: http://secunia.com/advisories/15605/ Elf Monate. Auch hier nichts in Sicht: http://secunia.com/advisories/16210/ Sechs Monate für den Patch einer schweren Sicherheitslücke: http://www.golem.de/0407/32348.html Vier Monate für eine Kritische Sicherheitslücke: http://www.pc-magazin.de/common/nws/einemeldung.php?id=43381 Seit einem Momnat bekannt und noch nicht behoben: http://www.computer-security.de/content/view/548/ ... Die Liste lässt sich beliebig fortsetzen. Sind das jetzt alles Ausnahmen? Die vollkommen unreflektierte Aufzählung uralter Programme führt meiner Meinung nach eher zu Stammtischparolen als zu ernsthaften Diskussionen. So etwas kann hier ja wohl nicht gewünscht sein. In der Liste steht auch weder der Schweregrad, noch die Zeit bis zum Fix. Gerade aber der Schweregrad spielt hier eine gewaltige Rolle. Kleines Zitat von http://www.zdnet.de/security/news/0,39029460,39143139,00.htm: In drei aktuellen Meldungen warnen die Sicherheitsforscher von Secunia vor neu entdeckten Schwachstellen in Apples Safari-Browser, Microsofts Internet Explorer sowie in Mozillas Firefox. Während die Bugs in Safari und Firefox ausgenutzt werden können, um die Browser zum Absturz zu bringen, ermöglicht die Lücke im Internet Explorer im schlimmsten Fall das Einschmuggeln von Code und die Übernahme der Systemkontrolle. Es ist irgendwie schon ein Unterschied, ob ich durch eine Sicherheitslücke lediglich den Browser abstürzen lasse oder gleich das ganze Betriebssystem unter meine Kontrolle bringe, was beim IE ja durch seine tiefe Integration nicht weiter verwunderlich ist. Was am Ende bei bit9 übrig bleibt ist eine Liste mit dem Informationsgehalt einer Waschmittelwerbung. Ich kann doch nicht einfach die Löcher zählen, ohne deren Größe zu berücksichtigen. Jedes Produkt hat Fehler, aber nicht deren Anzahl, sondern deren Schweregrad ist entscheidend. Zitieren Link zu diesem Kommentar
overlord 10 Geschrieben 27. Juni 2006 Melden Teilen Geschrieben 27. Juni 2006 Richtig!....und im Hinterkopf spielt mit Sicherheit immer das Preis-Leistungs-Verhältnis eine Rolle! (auch wenn das einige Herren nicht hören wollen; soll auch keine neue unendliche DIskussion entfacht werden) Außerdem wenn mir ne Anwendung zu buggy is, nehm ich halt ne andere. Beim OS wirds da schwieriger.... Wobei mit Sicherheit NIEMAND an der Fähigkeit der MS-Entwickler zweifeln dürfte (Lob Lob!), aber vielleicht liegt ja das Problem ein wenig im Grundsatz und der Strategie...... Man kann ja nicht mehr machen als nach allen Regeln der Kunst seine Systeme dicht zu machen und up2date zu halten. Wenn man irgendwo rein will, findet man auch einen Weg! Eins ist aber auch irgendwo klar, ein System das immer leichter für den Endanwender zu "administrieren" sein soll, wird irgendwo auch immer fehleranfälliger sein. Und wie schon erwähnt, warum sollte sich zB jemand die Mühe machen NFS zu hacken (das viell. 5% nutzen, nur mal als Bsp), wenn ich in max. 3 Min. auf ne default Windows-Share von nem SoHo-User übers Inet zu greifen kann?! Man kann es sich aber auch nicht so einfach machen und alles auf MS schieben, da stimme ich Velius voll zu! Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 27. Juni 2006 Melden Teilen Geschrieben 27. Juni 2006 @Nocturne: Auf was aber fast keiner eingeht, außer MSFT selbst sind detaillierte Beschreibungen zu den jeweiligen Bulletins... alle schreiben oh... böhse Sicherheitslücke...u. am Ende stellt sich raus... 1. Lokale Adminberechtigungen nötig 2. Port 3389 offen 3. Portweiterleitung 3389 auf betroffenes System.... Für mich stellt sich jetzt die Frage, warum sollte ich als IT-Administrator angst vor solchen Sicherheitslücken haben. Wenn ich mich an die grundregeln halte u. gängige Sicherheitskonzepte einhalte. Wenn wir hier von Stammtischparolen reden, die leute die am lautesten Schreien, sind meistens die, die als lokaler Admin o. noch besser als Domänen-Admin arbeiten. Außerdem: Solltest du mal nicht jedem Revolerblatt glauben sondern dich an den Hersteller wenden... MSFT hat z.B. für deine erste beschriebene Sicherheitslücke nen Patch seit dem 11. April rausgebracht... also bitte... :suspect: Geht immer um die gleiche Lücke: Hier dein Link published am 29.3 http://www.pctipp.ch/webnews/wn/32859.asp ...da hatte MSFT aber schön längst ein Security Advisory..warum gibts hier keinen Link von PCTipp drauf...: http://www.microsoft.com/technet/security/advisory/917077.mspx (published am 23.3) u... hier das Security Bulletin (published am 11. 4) http://www.microsoft.com/technet/security/Bulletin/MS06-013.mspx Also erzähl du uns bitte nix von Stammtischparolen... :suspect: - Kohn - Zitieren Link zu diesem Kommentar
overlord 10 Geschrieben 27. Juni 2006 Melden Teilen Geschrieben 27. Juni 2006 Servus Kohn! Für mich stellt sich jetzt die Frage, warum sollte ich als IT-Administrator angst vor solchen Sicherheitslücken haben. Wenn ich mich an die grundregeln halte u. gängige Sicherheitskonzepte einhalte da hast du Recht, aber um den Kreis mal wieder zu schliessen, in der Liste gehts ja eigentlich um Apps und wenn man mal genauer hinschaut sind es überwiegend - wen wunderts - irgendwelche Multimedia-Firlefanz-Applikationen a la voip-mp3-p2p....und was zieht bei den Leutz (und Cheffs ;) ) mehr als so´n Schnickschnack... Um mal die Anti-Win-Emotionen bisschen einzudämmen, interessiert euch wirklich, wenn in irgendnem mediaplayer (egal von wem) ne Lücke ist? Ein System, das jede neue Version, jeden Codec, jeden Player brauch (der über ~50 Ports nach Hause telefoniert) gehört nicht in ein produktives Firmennetz! ...nur beim Chef, is klar. Zitieren Link zu diesem Kommentar
Nocturne 10 Geschrieben 27. Juni 2006 Melden Teilen Geschrieben 27. Juni 2006 @Nocturne: Auf was aber fast keiner eingeht, außer MSFT selbst sind detaillierte Beschreibungen zu den jeweiligen Bulletins... alle schreiben oh... böhse Sicherheitslücke...u. am Ende stellt sich raus... 1. Lokale Adminberechtigungen nötig 2. Port 3389 offen 3. Portweiterleitung 3389 auf betroffenes System.... Da will ich dir nicht wiedersprechen. Genau das ist es doch, was ich am Anfangsthread auch bemängle: Keine Bewertung oder reflektion der Sicherheitslücken! Dabei spielt es keine Rolle, ob von Microsoft oder nicht. Für mich stellt sich jetzt die Frage, warum sollte ich als IT-Administrator angst vor solchen Sicherheitslücken haben. Wenn ich mich an die grundregeln halte u. gängige Sicherheitskonzepte einhalte. Und wieder: Genau meine Rede. Wenn wir hier von Stammtischparolen reden, die leute die am lautesten Schreien, sind meistens die, die als lokaler Admin o. noch besser als Domänen-Admin arbeiten. Sic. Außerdem: Solltest du mal nicht jedem Revolerblatt glauben sondern dich an den Hersteller wenden... MSFT hat z.B. für deine erste beschriebene Sicherheitslücke nen Patch seit dem 11. April rausgebracht... also bitte... :suspect: Das ist richtig. Nichts desto trotz war die Lücke lange bekannt, und das wollte ich damit zum Ausdruck bringen. Du bist aber jetzt recht intensiv in den Verteidigungsmodus gegangen, und das obwohl ich hier niemanden angegriffen habe, sondern lediglich zum Ausdruck gebracht habe, dass eine unreflektierte Aufzählung alter Programmlücken nichts aussagt. Warum eigentlich? Ist daran etwas falsch? Ist die von Dr. Melzer aufgezählte Liste für dich etwa in irgendeiner Weise aussagekräftig? Um es mal klar zu machen: Ich störe mich nicht an Microsoft, sondern an leeren Werbeaussagen wie "Somit gibt es exakt 0 Tage Wartezeit auf den Patch...", was definitiv nicht stimmt, und an inhaltslosen Aufzählungen von Sicherheitslücken. Das macht weder bei MS, noch bei anderen Herstellern Sinn. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.