Wer den Schaden hat, braucht für den Spott nicht zu sorgen

Wer den Schaden hat, braucht für den Spott nicht zu sorgen

18. Februar 2002 - Kaum hat Bill Gates 7000 Entwickler in die Klausur geschickt, um die Microsoft-Produkte endlich, endlich sicherer zu machen, da kommt schon wieder einer und will ein Sicherheitsloch gefunden haben.
Artikel erschienen in IT Magazine 2002/06

Sowas nennt man Pech, Mister Gates! Kaum haben Sie 7000 Entwickler in die Klausur geschickt, um die Microsoft-Produkte endlich, endlich sicherer zu machen, da kommt schon wieder einer und will ein Sicherheitsloch gefunden haben.



Wäre es doch im Internet Explorer gewesen, oder wenigstens in Outlook, da hätte der x-te Bug sicher keinen mehr hinter dem Ofen hervorgelockt, höre ich Sie mit dem Schicksal hadern. Aber nein, die Vorsehung zeigt sich unbarmherzig, der Fehler musste in Visual Studio.Net gefunden werden, im erst vor wenigen Tagen veröffentlichten Zugpferd der .Net-Initiative.



"Hihi", hört man den Pöbel kichern.



Nun, wer den Schaden hat, da geben Sie mir sicher recht, braucht für den Spott nicht zu sorgen.



Schliesslich ist es doch recht amüsant zu hören, dass ausgerechnet Visual Studio.Net ganz besonders sicher sein soll. Und da kommt nun diese Firma Cigital und behauptet frech, dass sich im C++-Compiler eine neue Komponente befinde, die für Buffer-Overflow-Attacken anfällig sei. Für sich genommen ist das ja nicht lustig. Dass aber ausgerechnet dieses neue Modul für die Verhinderung von Buffer-Overflows bei mit Visual Studio.Net entwickelten Programmen zuständig sein soll, nun, Mister Gates, da müssen Sie doch auch lachen, geben Sie es zu!



Visual Studio.Net, Ihr momentanes Lieblingskind, Mister Gates, und die grosse Hoffnung auf eine glanzvolle Zukunft in der Welt der Web-Services! Visual Studio.Net nicht nur unsicher, sondern mithin ein Generator für Sicherheitslöcher?



"Hihi", hört man den Pöbel kichern.



Schadenfreude ist eben doch die schönste und reinste Form der Freude.



Aber bleiben wir fair. Wir geben zu, dass die besagte Meldung über das Sicherheitsloch zwar durchaus plausibel klang, die Quelle aber - nun ja - nicht über alle Zweifel erhaben scheint. Cigital? Muss man diese Firma kennen?



Nicht wirklich überraschend kam denn auch bereits Tags darauf eine Gegendarstellung aus Ihrem Hause. Microsoft? Doch, hat man schon gehört, da weiss man, was man hat.



Und schon ist die Sicherheitslücke kein grosses Loch mehr, sondern nur noch ein kleines Missverständnis. Einen einzigen Fehler müsse man sich vorwerfen lassen, schreibt Brandon Bray, einer der Entwickler des C++-Compilers: Man habe in der Programmdokumentation genau beschrieben, gegen welche Arten von Buffer-Overflows das neue Buffer-Security-Checking-Feature schütze, nicht aber, gegen welche es machtlos sei. Natürlich ersetze die Funktion nicht eine saubere Programmierung und ermögliche allenfalls den Angriff auf Anwendungen, die eh schon anfällig auf Buffer-Overflows seien.



Das mag zutreffen, und das glauben wir auch sofort.



Aber mal ganz unter uns, Mister Gates, können wir Ihnen und Ihren Mannen trauen? Wieviele Bugs waren denn schon Features? Und wer garantiert, dass Cigitals Vorwürfe über die Anfälligkeit des C++-Compilers in Visual Studio.Net nicht doch stimmen? Die Vorwürfe werden durch die Gegendarstellung auch nicht entkräftet.



Das haben Sie sich bestimmt anders vorgestellt mit Ihrer "Trustworthy Computing"-Initiative, nicht wahr, Mister Gates? Wir auch, wir auch.



Vielleicht wäre es Zeit für eine klitzekleine Image-Kampagne?

Neuen Kommentar erfassen

Anti-Spam-Frage Was für Schuhe trug der gestiefelte Kater?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER