Menü
Avatar von Nugget32
  • Nugget32

mehr als 1000 Beiträge seit 03.04.2002

Microsoft = Winzigweich.

Microsoft legt erstmals offen, nach welchen Kriterien sie gemeldete Schwachstellen klassifizieren und welche Lücken ein Update bekommen und welche nicht.

Allein diese Formulierung des Satzes sollte man sich auf der Zunge zergehen lassen.
Generell Fakt ist ein lücke ist eine Lücke . Punkt !
Diese muss Behoben werden,daran führt kein weg vorbei. Natürlich lassen sich einige liecht und schnell beheben weil es z.B. nur nen einfacher Formfehler oder Tippfehler ist der schnell korrgiert werden kann. andere sind Komplexer und bedürfen mehr Aufwand um sie zu beheben. Generell sollte man diesen icht Klassifizieren ,sondern einfach Beheben und zwar so schnell wie möglich und nicht erst Klassifizieren und entscheiden wer wo und was. Man vergeudet einfach nur mehr Zeit ,verärgert Nutzer und Verzögert auch damit nicht nur die Behebung des Problems. Kein Nutzer würde Microsoft etwas Negatives Anhängen wenn eine Behebung eins Problemes ein paar Tage dauert. Aber z.B 17 Jahre auf einen Patch warten zu müssen ,das sollte tunlichst vermieden werden.

https://www.heise.de/security/meldung/Windows-Luecke-nach-17-Jahren-gefunden-Update-908743.html

Oftmals ist es auch so das wenn man einen kleinen Fehler oder Bug Behebt man oftmals sich auch nicht an größere Lücken sofort herantrauen muss weil die Behebung des kleinen Problemes dann durchaus das größere Beheben kann. Man gewinnt so mehr Zeit (ohne den Kunden Informieren zu müssen) zur Behebung eines Problemes anstelle vorher zu klassifizieren welche Lücke/Problem wie schwerwiegend ist und welche am ehesten Behoben werden muss.

"Kriterien zum Ermitteln der Pflegebedürftigkeit" nennt Microsoft sinngemäß die Kriterien, anhand derer das Microsoft Security Response Center (MSRC) die von externen Sicherheitsforschern gemeldeten Bugs klassifiziert. Das MSRC stellt zum Klassifizieren zwei Fragen: Verletzt die Schwachstelle eine Sicherheitshürde (Security Boundary) beziehungsweise unterläuft sie deren Zweck? Und ist der Bug schwerwiegend genug?

Die Meisten Nutzer wissen das MS es mit der Qualitätssicherung nicht sooo genau nimmt. Daher braucht man auch nicht zu Erwähnen was man schon weis wie schlecht es bei Ms funktioniert. In vielen Patch Days wurdne Patches bereitgestellt die kurzerhand ein Paar Tage später wieder zurückgezogen wurden weil Sie Fehlerhaft waren. auch mich hat es zu meiner vergangenheit mit Windows erwischt das nach dem einspielen eines Updates ,Patch oder Bug Fixes ich auf einmal einen BSOD hatte und die mir damals zu verfügung stehenden Reparaturmöglichkeiten keine hilfe waren ,somit man Zwangsweise neu Installieren musste. Vergleiche ich das mit Linux ( distribution) die ich seit Jahren verwende, kenne ich keine Problematik wo ich zwangsweise komplett neu Installieren musste. Selbst Grub umstellung auf Grub 2 und entsprechende UEFI Uterstützung ( kam später dazu) waren nicht soo Instabil das ich komplett neu Installieren musste. Kernel Panic meldung hatte ich schon öfters ,aber gott sei dank konnte ich immer den vorherigen Kernel verwenden und so die Probleme beheben. Selbst Produktiv System sind bei mir unter Linux nicht so Abgeschmiert das nichts mehr ging ,während das bei MS Windows schon vorkam. Vor allem Versionsübergreifend (Beispiel Windows 7 auf 10 oder von Windows XP auf Windows 7 ,etc.) . Unter Linux (Beispiel) Linux Mint Version 17.X auf Version 18.1 verlief ohne Probleme. selbst danach auf 18.2 und später auf 18.3 war unproblematich. Auf Version 19 war zwar sehr umfangreich ,war aber nicht so Kritisch das man da nicht eingreifen und Probleme beheben konnte. Letztendlich musste man nur wissen wo es klemmte und die Sache angehen.

Kein Update – und somit auch keine Bug-Prämie – hingegen ziehen Schwachstellen nach sich, die die Benutzerkontensteuerung (User Access Control, UAC) umschiffen. UAC gehört zusammen mit 15 anderen Funktionen, darunter auch AppLocker und der Speicherschutz ASLR, zu "Defense-in-depth Security Features". Immerhin führt das Umgehen von sieben dieser Funktionen zu einer Bug-Prämie.

Microsoft schließt derartige Schwachstellen aber nicht im Rahmen des monatlichen Patchdays, sondern erst in einer kommenden Version der Sicherheitsfunktion – wenn überhaupt. Sie begründen dies damit, dass ein krimineller Hacker alleinig durch das Ausnutzen einer Schwachstelle in einer der Funktionen keinen fremden Rechner unter seine Kontrolle bekommt. Dies ist nur durch Social Engineering oder in Kombination mit einem weiteren Bug möglich, der eine der Security Boundaries überwindet.

Solche sinnlos Diskussionen würden erst gar nicht entstehen wenn man ( siehe Text weiter oben) vorgehen würde. Ich bin richtig froh das ich kein windows verwende ,weder Beruflich noch Privat. Aktuell sietze ich hier und knabber den Inhalt meiner Chips Tüte und schlürfe ne Cola dazu. So viel Mist zu Microsoft und deren Problembehandlung hab ich selten gelesen. Am besten alles dazu einstampfen und bei 0 Anfangen ,sauber alles aufziehen und man hätte die Probleme nicht anstelle immer an einen Flickenteppich zu gehen. das hätte man schon nach Windows 7 tun sollen aber wie die Praxis zeigt ,war dies nicht der Fall.

Die Frage nach dem Schweregrad (kritisch, wichtig, mäßig oder niedrig) beantwortet das MSRC anhand eines jetzt ebenfalls veröffentlichten Kriterienkatalogs, der zwischen Server und Desktop-Computer unterscheidet. Beispielsweise eine Lücke, über die sich eine Malware selbständig von Rechner zu Rechner verteilt (Wurm), ist "kritisch" und wird mit Nachdruck behoben.

Das gleiche gilt für eine Rechteausweitung, also einen Bug, der einem Angreifer mitunter Systemrechte verschafft, sodass er beliebigen Code ausführen kann. Auch die Manipulation des Hosts durch eine VM sieht Microsoft als "kritisch" an. Bugs, die hingegen nur zu einem Neustart einer Anwendung führen, klassifiziert Redmond als "niedrig".

Was eine Herstellerfirma als entsprechend erachtet ,sieht ein Anwender anders.Egal ob Gewerblich oder Privat. Letztendlich will er das Problem gelöst haben , PUNKT. Dem ist es egal ob es ein paar Tage dauert oder 17 Jahre braucht um behoben zu werden. Mittlerwiele sieht er es als normal an das Behebungen von Problemen immer Tage,Wochen. Monate und sogar Jahre dauern bei MS. Und solche Entscheidungen zu treffen ob etwas wichtig ,kritisch oder weniger davon ist finde ich absolut lächerlich das MS sowas betreibt. Die Ressourcen die man dafür verschwendet wären besser aufgehoben im qualitäts Managment als diesen Aufwand (sinnlos) zu Betreiben.

It´s not a bug ,it´s a feautre !

Bewerten
- +
Anzeige