Sicherheitslücke in Microsofts .NET-Compiler

Nach Erkenntnissen des amerikanischen Sicherheitsunternehmens Cigital stellen die Compiler des jüngst vorgestellten Visual C++.Net und Visual C++ Version 7 ein Sicherheitsrisiko dar. Damit geschriebene Programme können leicht ein Sicherheitsleck enthalten, das Angreifer ausnutzen können, um einen Buffer Overflow zu erzeugen.

https://www.golem.de/0202/18300.html

tschuldigung, aber der artikel bei heise (http://heise.de/newsticker/data/jk-15.02.02-001/) darüber ist wesentlich aufschlußreicher... hintergrundinfos über die "entdecker" (die u.a. auch systeme zur sicherheitsüberprüfung von software herstellen) und ihre empfehlung, absolute sicherheit würden nur "software risk management"-systeme (was stellte die firma noch mal her?) bieten und darüber, daß diese firma sofort an die öffentlichkeit ging, anstatt (wie sonst üblich) erstmal microsoft im stillen zu kontaktieren. weiterhin gibt selbst der "entdecker" zu, daß es äußerst schwierig wäre, diese sicherheitslücke auch auszunutzen.

sorry, aber das sind wesentliche informationen dazu, die fehlen hier einfach. ich bin absolut kein fan von microsofts aktuellem versuch das .net in ihre gewalt zu bringen, aber man sollte die kirche im dorf lassen.

De Golem Meldung ist etwas unvollstaendig: es handelt sich nicht um einen neuen Bug, denn das gleiche Problem existiert auch in allen vorherigen Visual C++ Versionen. "Neu" ist nur, dass MS versucht hatte, diesen Typ Overflow von vornherein im Compiler fuer .NET zu vermeiden, was aber anscheinend (noch) nicht geklappt hat.

Jason

another day, another bug?

mmmhhhh..... wo sind denn jetzt blos die "Tux's Zeugen" um mit dem Fuinger auf den Microsoft Teufel zu zeigen?
Naja, ich wart mal ab.

"ich bin absolut kein fan von microsofts aktuellem versuch das .net in ihre gewalt zu bringen"

Uhm, .NET ist Microsofts "Erfindung". Was gibt es da in ihrer Gewalt zu bringen?

Naja, vielleicht wollen Sie das ganze Internet übernehemen? Oder gar die Welt? ;o)

cmi schrieb:
>
> tschuldigung, aber der artikel bei heise
> (http://heise.de/newsticker/data/jk-15.02.02-001/)
> darüber ist wesentlich aufschlußreicher...
> hintergrundinfos über die "entdecker" (die
> u.a. auch systeme zur
> sicherheitsüberprüfung von software
> herstellen) und ihre empfehlung, absolute
> sicherheit würden nur "software risk
> management"-systeme (was stellte die
> firma noch mal her?) bieten und darüber,
> daß diese firma sofort an die
> öffentlichkeit ging, anstatt (wie sonst
> üblich) erstmal microsoft im stillen zu
> kontaktieren. weiterhin gibt selbst der
> "entdecker" zu, daß es äußerst schwierig
> wäre, diese sicherheitslücke auch auszunutzen.
>
> sorry, aber das sind wesentliche informationen
> dazu, die fehlen hier einfach. ich bin absolut

Es sollte regelmäßigen Lesern verschiedener News-Dienste aufgefallen sein, dass Golem.de eher Microsoft-kritisch und Open-Source-freundlich berichtet. Das merkt man unter anderem sowohl an der Auswahl der News-Beiträge als auch an der Art und Weise, wie sie geschrieben sind. Für objektive Informationen ist es daher fast zwingend, Nachrichten bei verschiedenen Diensten zu lesen. Es ist immer wieder überraschend zu sehen, welche unterschiedliche Positionen in den einzelnen Beiträgen eingenommen werden.

kleines wortspiel... kapisch? ;)

äh.. heise hat aber auch nicht unbedingt den ruf für microsoft zu arbeiten...

Das ist Richtig, umso erstaunlicher dass heise solche Berichte veröffentlicht!!

Ah ja:
>>>".... die "Tux's Zeugen" um mit dem Fuinger auf den Microsoft Teufel zu zeigen?"

Du bezeichnest uns "die Tux Zeugen..."
Ich bevorzuge die Bezeichnung Linux-User, denn das hat wohl nichts mit "Zeugen..." zu tun.
Bist du ein Billytubbi ? (Ist alles so schön Bunt hier :-)

>>>"Naja, ich wart mal ab."

Dein Wunsch ist in Erfüllung gegangen... ist das nicht nett ?

Weshalb sollte man dazu noch etwas schreiben ?
Der Artikel oben sagt doch schon genug aus.
Sinnlos... alles weitere.
Nur so viel:
Da wird sich auch in Zukunft nichts ändern. Habt Ihr etwa, etwas anderes erwartet ?

Nichts für ungut... bis zur nächsten Message ...

Wenn man den Maßstab anlegt, der hier offensichtlich angelegt wurde, dann stellen prinzipiell alle C/C++-Compiler (und eine Menge anderer Programmiersprachen) ein Sicherheitsrisiko dar, denn keiner davon überprüft in der Release-Version eines Compilats auf das Überschreiben von lokalen Arrays (Buffer Overflow).
Das hat nichts mit Microsoft und nichts mit .NET zu tun, ist aber durch die arg verkürzte Fomulierung wieder mal ein prima Schlachtfeld für den MS/Open Source Krieg (siehe diverse Beiträge).
Es wäre einfach wohltuend, wenn sich Leute bei solchen Diskussionen an den Tatsachen und weniger an ihren Emotionen orientieren würden (auch beim Schreiben von vereinfachenden Meldungen!).

mfg
kb

vollkommen richtig! gut, dass das mal gesagt wurde.

leider tritt das bildzeitungs-syndrom (quote statt qualität: also pageimpressions/auflagemenge statt qualität) immer öfter auf. und bei berühmten namen (ob nun softwarehersteller oder medienstar) klickt man, meine ich, schneller auf eine solche meldung.

nichts für ungut, die betreiber/verleger, wollen ja auch leben ;-)

cu