* Bernhard Reiter:
Am Mittwoch, 21. Oktober 2009 20:46:10 schrieb Florian Weimer:
Diese beiden Ereignisse lassen vermuten, dass es kein Einzelfall, sondern eine Einstellung des Herstellers ist, der vermutlich in Kauf nimmt, dass eine solche Lücke beim Kunden aufschlägt.
Ja, und? Natürlich liefern wir alle Software mit Fehlern und Schwachstellen aus. Auch die SMB2-Schwachstelle wird nicht der letzte dieser Art sein.
Hier nimmt eine Hersteller zu einem "hohen" Sicherheitsrisiko in einem neuen Produkt, was er verkaufen möchte, nicht einmal Stellung. Das halte ich für etwas Besonderes!
Ich kann die BSI-Einstufung nicht nachvollziehen. Ich kenne nicht mal die Skala, die sie verwenden. Die anderen Meldungen liefern auch ein eher unheitliches Bild (Schwachstellen, die den Befall des Computers durch Besuchen von Webseiten ermöglichen, bekommen mitunter nur eine "3"). Das ist muß kein Verschulden des BSI sein, die Einstufung von Schwachstellen ist schwierig.
Wenn der Hersteller eine Aussage treffen würde, wie: "Ja, prüfen wir." - oder "Ja ist kaputt, bitte das und das machen, bis wir das erledigt haben." wäre das was anderes.
Hast Du ihn überhaupt gefragt?