Am Donnerstag, 22. Oktober 2009 14:45:53 schrieb Volker Grabsch:
Hier nimmt eine Hersteller zu einem "hohen" Sicherheitsrisiko in einem neuen Produkt, was er verkaufen möchte, nicht einmal Stellung. Das halte ich für etwas Besonderes!
Einen DoS auf Privatrechner, in der nur im lokalen Netzwerk ausgelöst werden kann, wenn auf dem Zielrechner die Firewall abgeschaltet ist ... das würde ich nicht als "hohes" Sicherheitsrisiko bezeichnen.
Oder habe ich da etwas übersehen?
Der Cert-Bund vom BSI betrieben, ordnet das Risko innerhalb von fünf Stufen ein: (5 - sehr hoch | 4 - hoch | 3 - mittel | 2 - niedrig | 1 - sehr niedrig)
Und die kommen da auf "4 - hoch" in https://www.cert-bund.de/advisoryshort/CB-K09-0315%20UPDATE%201
Da das BSI wohl eine "responsible disclosure" betreibt fehlen uns weitere Details, um die Höhe des Risikos selbst bewerten zu können. Deshalb hat die FSFE ja auch das BSI Aufgerufen, in diesem Falle mal davon abzuweichen. Oft ist übrigens wahrscheinlich, dass aus einem "Abschiessen" auch eine Möglichkeit zur Befehlsausführung wird. Weiterhin nehme ich an, dass viele Anwender, gerade um Drucker und Dateiinformationen auszutauschen den Port halt auch offen haben. Ich meine, damit der Dienst wirklich funktionieren kann, muss der Port halt auch von anderen Rechenern erreichbar sein.
Sprich: Wir können es nicht abschliessend bewerten, sondern uns nur auf das BSI verlassen. Aber das Microsoft mehr als 2 Wochen zu einer seriösen Sicherheitsmeldung einer offiziellen deutschen Stelle schweigt, gerade vor dem Produktstart, finde ich schon bemerkenswert. Wenn nichts dran wäre, warum sagen die das dem BSI und der Öffentlichkeit nicht gleich?
Gruß, Bernhard