Von Microsoft will ich die nächsten Wochen nichts zum Thema „Sicherheit” hören
Kann sich unter meinen LesERinneN noch jemand an die Schädlinge ILOVEYOU, Nimda und Code Red (2000-2001) erinnern? Diese sorgten für ein derartig schlechtes Medienecho, dass sich Bill Gates persönlich am 18. Juli 2002 dazu herab ließ, in einem Memo die Trustworthy Computing (Vertrauenswürdige EDV) Initiative zu verkünden.
Den Kern dieser Initiative bildet das so genannte SD3+C – Secure by Design, Secure by Default, Secure in Deployment und Communications. So sollte beispielsweise Dienste oder Programme, die nicht explizit vom Kunden benötigt werden, bei der Installation/Auslieferung nicht automatisch installiert werden – etwas das Microsoft bis dahin gerne unter dem Mantel der „Benutzerfreundlichkeit” tat.
Seit 2002 werden auch Microsofts Vertreter wie Thomas, Gerhard, Haider oder Georg nicht müde zu betonen, wie viel sicherer, stabiler und besser die Microsoft-Produkte seitdem wurden. Und ich war auch geneigt, wenn man sich beispielsweise die Verbesserungen im Server und beispielsweise IIS und SQL Server ansieht, zuzustimmen.
Die Betonung liegt dabei auf „war”, denn seit Kurzem hat sich diese Meinung bei mir wieder geändert. Und damit kommen wir nun zum eigentlichen Thema dieses Postings.
Bereits im Mai ist mir das Geimpfte aufgegangen, als bekannt wurde, dass Microsoft den „Microsoft .NET Framework Assistant” UNGEFRAGT im Firefox installiert und dieser sich nur über Registry Hacks entfernen ließ.
Meine - und die Befürchtungen zahlreicher Anderer – hinsichtlich dieser Vorgehensweise, die meiner beischeidenen Meinung nach sowohl gegen die SD3+C Richtlinien vertößt als auch das Vertrauen der Anwender in Microsoft weiter untergräbt, hat sich am 13. Okt 2009 nun bestätigt. Ãœber das von Microsoft ungefragt installierte Add-On ließ sich eine Sicherheitslücke im .NET-Framework ausnützen, falls diese nicht gepached wurde.
Liebe Freunde von Microsoft. Solange ihr ungefragt Software in fremde Produkte installiert und damit Sicherheitslöcher schafft braucht ihr bis auf Weiteres nicht mehr mit mir darüber diskutieren, wie „sicher” doch die Microsoft-Produkte geworden sind und wie toll ihr im Bereich Sicherheit seid. Und ja, das bezieht sich auch auf den kommenden Windows 7 Launch. Punkt.
Tagged as: microsoft, rant, sicherheit, trustworthy computing | Author: Martin Leyrer
[Montag, 20091019, 23:49 | permanent link | 1 Kommentar(e)
Mir geht es so wie Dir: Ich war geneigt den Microsofties bei ihren Bemühungen um die Sicherheit zu vertrauen.
Aber Meldungen wie diese: "SMB2-Lücke offenbar schon länger bei Microsoft bekannt" [1], machen alles mit einem Schlag wieder zunichte.
Schade MS.
[1] http://www.heise.de/newsticker/meldung/SMB2-Luecke-offenbar-schon-laenger-bei-Microsoft-bekannt-831618.html
Comments are closed for this story.