1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Bausatz zur Ausnutzung des WMF…

Patch gibt's laut heise am Patchday (10.01)

  1. Thema

Neues Thema Ansicht wechseln


  1. Patch gibt's laut heise am Patchday (10.01)

    Autor: Hauke 03.01.06 - 13:06

    LOL
    Das kann ja noch lustig werden laut heise kommt der Patch erst am Dienstag den 10.01.2006 zum Patchday raus. Mal gucken was in den nächsten 2 Wochen auf mehr PCs installiert ist ein Virus der diese Lücke benutzt hat oder der Patch dazu. *g*
    Wir könne ja mal Wetten abschließen, wann die erste Million an PCs durch diese Lücke infiziert wurde. Ich tippe auf morgen 8 Uhr. Oder doch schon heute?
    http://www.heise.de/newsticker/meldung/67912

  2. Re: Patch gibt's laut heise am Patchday (10.01)

    Autor: pennbruder 03.01.06 - 13:10

    Hauke schrieb:
    -------------------------------------------------------
    > LOL
    > Das kann ja noch lustig werden laut heise kommt
    > der Patch erst am Dienstag den 10.01.2006 zum
    > Patchday raus. Mal gucken was in den nächsten 2
    > Wochen auf mehr PCs installiert ist ein Virus der
    > diese Lücke benutzt hat oder der Patch dazu. *g*
    > Wir könne ja mal Wetten abschließen, wann die
    > erste Million an PCs durch diese Lücke infiziert
    > wurde. Ich tippe auf morgen 8 Uhr. Oder doch schon
    > heute?

    unglaublich - alle jahre wieder predigt microsoft, dass sie sicherheit GROSS schreiben wollen und dann kommen wieder solche nachrichten.... naja, die nächste ms-finanzierte studie in der diese dinge verharmlost werden kommt bestimmt...

  3. Re: Patch gibt's laut heise am Patchday (10.01)

    Autor: blub 03.01.06 - 13:58

    Warum brauchen die so lange zum Patchen? Weil alle Programmierer damit beschäftigt sind, die Statistiken zu fälschen...

  4. Re: Patch gibt's laut heise am Patchday (10.01)

    Autor: screne 03.01.06 - 15:20

    Die Einfuehrung des "Flick-Tages" ist ja wohl der groesste Hohn seit langem... So nach dem Motto "Liebe Kunden, sieben Tage muessen sie leider noch verwundbar bleiben". So ein Schwachsinn.

    Sofort entwickeln, sofort testen, unverzueglich veroeffentlichen - so wie freie Projekte das in der Regel machen bei kritischen Luecken.

    Wer die Firmenphilosophie von Microsoft mal kennenlernen moechte, sollte sich dieses (alte) Interview mit Herrn Gates mal durchlesen:

    http://www.linuxfocus.org/Deutsch/January1998/article10.html

    Zitat: "FOCUS: ... Ok Leute, wer die
    neuen Features nicht mag, bleibt halt bei der alten Version und muß mit den Fehlern leben ?

    Gates: Nein! Wir haben eine Menge Konkurrenz. Die neue Version dient nicht dazu, Fehler der alten zu beheben. Das ist nicht der Grund, warum wir eine neue Version herausbringen.

    FOCUS: Aber es gibt in jeder Version Fehler, die die Menschen gerne behoben sehen würden.

    Gates: Nein! Es gibt keine bedeutenden Fehler in unserer Software, die eine bedeutende Anzahl von Leuten behoben sehen wollen."

    Jojo

  5. Re: Patch gibt's laut heise am Patchday (10.01)

    Autor: Mario _ Hana 03.01.06 - 22:07

    screne schrieb:
    -------------------------------------------------------
    > Die Einfuehrung des "Flick-Tages" ist ja wohl der
    > groesste Hohn seit langem... So nach dem Motto
    > "Liebe Kunden, sieben Tage muessen sie leider noch
    > verwundbar bleiben". So ein Schwachsinn.

    Du schreibst ziemlichen Schwachsinn, Microsoft hat unmittelbar nach Bekanntwerden der Lücke (12/2005) bereits in einem Artikel beschrieben, wie die Schwachstelle bis zum Erscheinen eines Patches behoben werden kann. Das Deregistrieren der betroffenen dll führt zwar zu Einschränkungen von Applikationen, welche diese Bibliothek benutzen, schließt aber erst einmal die Lücke. Der fremde Patch hilft auch ausreichend und das ohne Nebenwirkungen wie beim Deregistrieren ala MS.
    Also wo ist Dein Problem?

    PS: Wer lesen kann ist im Vorteil.

  6. Re: Patch gibt's laut heise am Patchday (10.01)

    Autor: Michael - alt 03.01.06 - 23:28

    Wo sein Problem ist kann ich Dir genau erklären: Er hat ja die richtigen Fragen gestellt, leider unvollständig. Deine Lösung ist zar richtig, aber nicht wirklich eine Lösung, denn niemand im Userland bei einer Kundenbasis von über 90% sollte an der Registry sowas tun. Das will auch MS nicht. Die Lösung ist daher eine Scheinlösung, die nicht wirklich weiterhilft. Aber man kann ja versuchen, das Problem zu verstehen..... Übrigens wäre eine Ascii-File zum Registry-Ändern und späterne zurückändern eventuell noch hilfreicher?


    Mario _ Hana schrieb:
    -------------------------------------------------------
    > screne schrieb:
    > --------------------------------------------------
    > -----
    > > Die Einfuehrung des "Flick-Tages" ist ja wohl
    > der
    > groesste Hohn seit langem... So nach dem
    > Motto
    > "Liebe Kunden, sieben Tage muessen sie
    > leider noch
    > verwundbar bleiben". So ein
    > Schwachsinn.
    >
    > Du schreibst ziemlichen Schwachsinn, Microsoft hat
    > unmittelbar nach Bekanntwerden der Lücke (12/2005)
    > bereits in einem Artikel beschrieben, wie die
    > Schwachstelle bis zum Erscheinen eines Patches
    > behoben werden kann. Das Deregistrieren der
    > betroffenen dll führt zwar zu Einschränkungen von
    > Applikationen, welche diese Bibliothek benutzen,
    > schließt aber erst einmal die Lücke. Der fremde
    > Patch hilft auch ausreichend und das ohne
    > Nebenwirkungen wie beim Deregistrieren ala MS.
    > Also wo ist Dein Problem?
    >
    > PS: Wer lesen kann ist im Vorteil.


  7. Re: Patch gibt's laut heise am Patchday (10.01)

    Autor: blub 04.01.06 - 07:58

    Ne, das lass mal lieber sein.
    Das wäre bei MS ein 35MB File, was nur funktioniert wenn der User das Gastkonto aktiviert hat, in der Zeitzone GMT -7 ist und der Computername mit X beginnt.
    Und die re-aktivierung würde gar nicht gehen, aber da könnte man einen Monat später ja nen HotFix für saugen...

  8. Re: Patch gibt's laut heise am Patchday (10.01)

    Autor: blub 04.01.06 - 08:04


    > Du schreibst ziemlichen Schwachsinn, Microsoft hat
    > unmittelbar nach Bekanntwerden der Lücke (12/2005)
    > bereits in einem Artikel beschrieben, wie die
    > Schwachstelle bis zum Erscheinen eines Patches
    > behoben werden kann. Das Deregistrieren der
    > betroffenen dll führt zwar zu Einschränkungen von
    > Applikationen, welche diese Bibliothek benutzen,
    > schließt aber erst einmal die Lücke. Der fremde
    > Patch hilft auch ausreichend und das ohne
    > Nebenwirkungen wie beim Deregistrieren ala MS.
    > Also wo ist Dein Problem?
    >
    > PS: Wer lesen kann ist im Vorteil.


    Und warum haben sie nicht gleich einen Patch geliefert?
    Ich kenne Beispiele von OS-Produkten, wo 5min nach Bekanntwerden des Bugs ein Patch raus war!
    Das hinauszögern ist unsinnig und höchst fahrlässig!


  9. Re: Patch gibt's laut heise am Patchday (10.01)

    Autor: Michael - alt 04.01.06 - 21:02

    Heute hast Du falsch geblubbt...... Der soll nicht die Registry exportieren sondern eine Unterstruktur..... Aber laß es lieber sein, bei Dir würde das wahrscheinlich schief gehen..... Fachleute können sowas übrigens im Batch.....


    blub schrieb:
    -------------------------------------------------------
    > Ne, das lass mal lieber sein.
    > Das wäre bei MS ein 35MB File, was nur
    > funktioniert wenn der User das Gastkonto aktiviert
    > hat, in der Zeitzone GMT -7 ist und der
    > Computername mit X beginnt.
    > Und die re-aktivierung würde gar nicht gehen, aber
    > da könnte man einen Monat später ja nen HotFix für
    > saugen...


  10. Re: Patch gibt's laut heise am Patchday (10.01)

    Autor: Michael - alt 04.01.06 - 22:02

    blub schrieb:
    -------------------------------------------------------
    > > > Du schreibst ziemlichen Schwachsinn,
    > Microsoft hat
    > unmittelbar nach Bekanntwerden
    > der Lücke (12/2005)
    > bereits in einem Artikel
    > beschrieben, wie die
    > Schwachstelle bis zum
    > Erscheinen eines Patches
    > behoben werden kann.
    > Das Deregistrieren der
    > betroffenen dll führt
    > zwar zu Einschränkungen von
    > Applikationen,
    > welche diese Bibliothek benutzen,
    > schließt
    > aber erst einmal die Lücke. Der fremde
    > Patch
    > hilft auch ausreichend und das ohne
    >
    > Nebenwirkungen wie beim Deregistrieren ala
    > MS.
    > Also wo ist Dein Problem?
    >
    > PS:
    > Wer lesen kann ist im Vorteil.
    >
    > Und warum haben sie nicht gleich einen Patch
    > geliefert?
    > Ich kenne Beispiele von OS-Produkten, wo 5min nach
    > Bekanntwerden des Bugs ein Patch raus war!
    > Das hinauszögern ist unsinnig und höchst
    > fahrlässig!
    >
    >

    Ja? Und ich kenne Beispiele, bei denen Bugs im OS-Bereich nie gefixed wurden: SuSE Linux konnte auf dem Gericom-Laptop nur von Diskette gebootet werden, nicht von der Festplatte und ein Releasewechsel von SuSE Linux 7.1 auf 8.0 erkannte den RAID-Controlle nicht mehr..... Also mal schön den Ball flach halten...


  11. Re: Patch gibt's laut heise am Patchday (10.01)

    Autor: blub 05.01.06 - 08:08

    Oho... Fachleute... so wie du? *zitter*

  12. Re: Patch gibt's laut heise am Patchday (10.01)

    Autor: blub 05.01.06 - 08:12

    Da frag ich mich, was besser ist. Nen Bootloader, den man nicht auf einem Notebook eines Low-Budget-Herstellers isntallieren kann oder eine Sicherheitslücke, mit der auf einem vorhandenen System ohne interaktion des Users beliebiger Code ausgeführt werden kann...

  13. Re: Patch gibt's laut heise am Patchday (10.01)

    Autor: Michael - alt 05.01.06 - 20:56

    Sollte man nach 24 Jahren IT und exzellenter Auftragslage auch sein, meinst Du nicht auch?


    blub schrieb:
    -------------------------------------------------------
    > Oho... Fachleute... so wie du? *zitter*


  14. Re: Patch gibt's laut heise am Patchday (10.01)

    Autor: Michael - alt 05.01.06 - 21:01

    Das muß jeder für sich selbst beantworten. Ein göttliches OS-System nicht zum Laufen zu bringen (die Jungs hätten ja mal MS anrufen können, wie man sowas macht), oder sich so geschützt zu haben, daß so ein Löchlein keine Rolle spielt? Weißt Du, Sicherheit auf einen Rechner zu beschränken ist nunmal beschränkt, es geht nämlich nicht, egal wieviel Patches man anbringt und egal welches BS man nutzt....

    Was glaubst Du, warum MS bisher keine Firewall angeboten hat? Da gibts zwar mehrere Gründe, aber ein wichtiger ist der: Jeder Fachmann weiß, das das Blödsinn ist. Aber der Consumer-Markt mit seinen unendlich doofen Usern hat nun mal geschrien und die "Fachleute" aus der Linux-Ecke haben kräftig mitgewirkt. Also, jetzt ist so eine nutzlose Einrichtung da....



    blub schrieb:
    -------------------------------------------------------
    > Da frag ich mich, was besser ist. Nen Bootloader,
    > den man nicht auf einem Notebook eines
    > Low-Budget-Herstellers isntallieren kann oder eine
    > Sicherheitslücke, mit der auf einem vorhandenen
    > System ohne interaktion des Users beliebiger Code
    > ausgeführt werden kann...


  15. Re: Patch gibt's laut heise am Patchday (10.01)

    Autor: Mario _ Hana 05.01.06 - 21:21

    blub schrieb:
    -------------------------------------------------------
    > Da frag ich mich, was besser ist. Nen Bootloader,
    > den man nicht auf einem Notebook eines
    > Low-Budget-Herstellers isntallieren kann oder eine
    > Sicherheitslücke, mit der auf einem vorhandenen
    > System ohne interaktion des Users beliebiger Code
    > ausgeführt werden kann...

    So!
    Ich schreib jetzt noch einmal langsam, vielleicht begreifts Du es ja dann:
    Microsoft hat "unmittelbar" nach Bekanntwerden der Lücke mit einem "Microsoft Security Advisory" (912840) am 28.12.05 reagiert und darin beschrieben, wie das Problem bis zum Erscheinen eines "richtigen" Patches behoben werden kann. Jeder der halbwegs lesen kann findet dieses Advisory unter:
    http://www.microsoft.com/technet/security/advisory/912840.mspx

    In meinen Augen sollte es einer Firma wie Microsoft dennoch möglich sein, trotz aller notwendigen durchzuführenden Qualitätssicherungen eines solchen Patches, diesen etwas schneller zu veröffentlichen.
    Es ist aber einfach falsch, zu behaupten, MS würde die Nutzer bis zum Erscheinen des Patches ins offene Messer laufen zu lassen. Die im Advisory beschrieben Lösung ist zwar nicht elegant, aber wirksam und da für nur einen relativ kurzen Zeitraum (keine zwei Wochen) gerade noch in dieser Form akzeptabel.
    Kaum akzeptabel dagegen ist die Geschichte mit dem "fehlenden" Bootloader über diesen langen Zeitraum. Auch wenn es nicht sicherheitsrelavant ist, entlarvt es doch das Gefasel vom schnellen Reagieren bei OSS - Zitat einen gewissen blub: "Ich kenne Beispiele von OS-Produkten, wo 5min nach Bekanntwerden des Bugs ein Patch raus war!" - als wieder einmal übertriebenes Märchen!


  16. Re: Patch gibt's laut heise am Patchday (10.01)

    Autor: Michael - alt 06.01.06 - 09:21

    Reg Dich nicht auf, die Kinderchens hier wissen nicht, was ordentliche Qualitätssicherung bedeutet. Die meinen, sie seien die tollen Programmierer und Hacker, wenn sie per Bausatz ein paar Objekte zusammengelinkt haben und es hin und wieder mal tut. Ich erinnere nur an den "I love you" Virus, wo die Unfähigkeit der Kinder deutlich zum Ausdruck kommt; der Virus funktionierte ja nachweislich falsch. Soviel zum Thema Qualitätssicherung auf Seiten der Frickler.

    Ich habe noch nie erlebt, daß aus dem OSS-Bereich eine vernünftige Lösung innerhalb eines vernünftigen Zeitraums kam. Aber was solls, man muß das Zeug ja auch nicht einsetzen.....

    Die schnellste Reaktion auf einen heftigen BUG habe ich allerdings bei der IBM erlebt, bei denen ein OS/2-Client über LAN-Manager auf einer AIX das File-Locking nicht ordentlich wieder aufgehoben hat. Das war ein ziemlich dicker Bug, den die IBM mit meinen Nachweisen innerhalb von 24 Stunden gelöst hatte. Das ist ein vergleichsweise wenig weitreichendes Problem gewesen, daher auch die Speed. Aber ansonsten sind Fixes, die zwei-drei Monate dauern üblich und im Sinne einer guten QS, insofern also ok.

    Mehr interessieren würde mich aber, wenn man endlich mal damit anfangen würde, den Idioten, die diese Angriffsspielchen machen, ein paar Sätze Backpfeifen zu verteilen. Deren Angriffe zielen nicht darauf ab, die "Sicherheit" zu erhöhen, sondern den Integrationsumfang zwischen Programmen zu Lasten der Kunden zu verringern. Das halte ich eher für ein Problem. Das Resultat ist nämlich nicht wesentlich höhere Sicherheit, sondern wesentlich niedrigeren Bedienkomfort. Und hier zu nivellieren hat die Fricklerszene allen Grund, deren Mist kann ja kein vernünftig denkender Mensch wirklich anwenden wollen. Und der Markt beweist das auch.

    Gruß


    Mario _ Hana schrieb:
    -------------------------------------------------------
    > blub schrieb:
    > --------------------------------------------------
    > -----
    > > Da frag ich mich, was besser ist. Nen
    > Bootloader,
    > den man nicht auf einem Notebook
    > eines
    > Low-Budget-Herstellers isntallieren
    > kann oder eine
    > Sicherheitslücke, mit der auf
    > einem vorhandenen
    > System ohne interaktion des
    > Users beliebiger Code
    > ausgeführt werden
    > kann...
    >
    > So!
    > Ich schreib jetzt noch einmal langsam, vielleicht
    > begreifts Du es ja dann:
    > Microsoft hat "unmittelbar" nach Bekanntwerden der
    > Lücke mit einem "Microsoft Security Advisory"
    > (912840) am 28.12.05 reagiert und darin
    > beschrieben, wie das Problem bis zum Erscheinen
    > eines "richtigen" Patches behoben werden kann.
    > Jeder der halbwegs lesen kann findet dieses
    > Advisory unter:
    > www.microsoft.com
    >
    > In meinen Augen sollte es einer Firma wie
    > Microsoft dennoch möglich sein, trotz aller
    > notwendigen durchzuführenden Qualitätssicherungen
    > eines solchen Patches, diesen etwas schneller zu
    > veröffentlichen.
    > Es ist aber einfach falsch, zu behaupten, MS würde
    > die Nutzer bis zum Erscheinen des Patches ins
    > offene Messer laufen zu lassen. Die im Advisory
    > beschrieben Lösung ist zwar nicht elegant, aber
    > wirksam und da für nur einen relativ kurzen
    > Zeitraum (keine zwei Wochen) gerade noch in
    > dieser Form akzeptabel.
    > Kaum akzeptabel dagegen ist die Geschichte mit dem
    > "fehlenden" Bootloader über diesen langen
    > Zeitraum. Auch wenn es nicht sicherheitsrelavant
    > ist, entlarvt es doch das Gefasel vom schnellen
    > Reagieren bei OSS - Zitat einen gewissen blub:
    > "Ich kenne Beispiele von OS-Produkten, wo 5min
    > nach Bekanntwerden des Bugs ein Patch raus war!" -
    > als wieder einmal übertriebenes Märchen!
    >
    >


  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Sky Deutschland GmbH, Unterföhring bei München
  2. Stadtwerke München GmbH, München
  3. Energie Südbayern GmbH, München
  4. über duerenhoff GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Verkehr: Das Kaltstart-Dilemma der Autos mit Hybridantrieb
Verkehr
Das Kaltstart-Dilemma der Autos mit Hybridantrieb

Bei Hybridautos und Plugin-Hybriden kommt es häufiger zu Kaltstarts als bei normalen Verbrennungsmotoren - wenn der Verbrennungsmotor ausgeht und der Elektromotor das Auto durch die Stadt schiebt. Wie schnell lässt sich der Katalysator vorwärmen, damit er Abgase dennoch gut reinigen kann?
Von Rainer Klose

  1. Elektromobilität Umweltbonus gilt auch für Jahreswagen
  2. Renault City K-ZE Dacia plant City-Elektroauto
  3. Elektroautos EU-Kommission billigt höheren Umweltbonus

Leistungsschutzrecht: Drei Wörter sollen ...
Leistungsschutzrecht
Drei Wörter sollen ...

Der Vorschlag der Bundesregierung für das neue Leistungsschutzrecht stößt auf Widerstand bei den Verlegerverbänden. Ãœberschriften mit mehr als drei Wörtern und Vorschaubilder sollen lizenzpfichtig sein. Dabei wenden die Verlage einen sehr auffälligen Argumentationstrick an.
Eine Analyse von Friedhelm Greis

  1. Leistungsschutzrecht Memes sollen nur noch 128 mal 128 Pixel groß sein
  2. Leistungsschutzrecht Französische Verlage reichen Beschwerde gegen Google ein
  3. Leistungsschutzrecht Französische Medien beschweren sich über Google

Data Scientist: Ein Mann, der mit Daten Leben retten will
Data Scientist
Ein Mann, der mit Daten Leben retten will

Senfgelbes Linoleum im Büro und weniger Geld als in der freien Wirtschaft - egal, der Data Scientist Danilo Schmidt liebt seinen Job an der Charité. Mit Ärzten entwickelt er Lösungen für Patienten. Die größten Probleme dabei: Medizinersprech und Datenschutz.
Ein Porträt von Maja Hoock

  1. Computerlinguistik "Bordstein Sie Ihre Erwartung!"
  2. OpenAI Roboterarm löst Zauberwürfel einhändig
  3. Faceapp Russische App liegt im Trend und entfacht Datenschutzdebatte

  1. Elenion Technologies: Nokia übernimmt US-Experten für Siliziumphotonik
    Elenion Technologies
    Nokia übernimmt US-Experten für Siliziumphotonik

    Nokia kauft ein New Yorker Unternehmen, das im Bereich Siliziumphotonik aktiv ist. Die Produkte sind für 5G-, Cloud- und Rechenzentrumsnetzwerke einsetzbar, es geht um die tiefere Integration bei der Umwandlung von Licht zu elektrischen Signalen.

  2. Spielestreaming: Google Stadia funktioniert auch mit Smartphones von Samsung
    Spielestreaming
    Google Stadia funktioniert auch mit Smartphones von Samsung

    Der Spielestreamingdienst Stadia von Google unterstützt künftig auch einige Smartphones von Razer und Asus, vor allem aber viele neuere Geräte von Samsung - inklusive der gerade erst vorgestellten Galaxy-S20-Reihe.

  3. EU-Kommission: Zehn Datenräume für die digitale Zukunft Europas
    EU-Kommission
    Zehn Datenräume für die digitale Zukunft Europas

    Die EU-Kommission unter Ursula von der Leyen will mit einer neuen Digitalstrategie europäische Daten besser nutzbar machen. Wie die vollmundigen Ankündigungen konkret umgesetzt werden, ist aber noch offen.


  1. 19:08

  2. 17:21

  3. 16:54

  4. 16:07

  5. 15:43

  6. 15:23

  7. 15:00

  8. 14:45