= Windows 7 wird mit bekannter Sicherheitslücke veröffentlicht =
FSFE: Microsofts Fahrlässigkeit verdeutlicht den Wert von Freier Software
[Permanente URL: http://www.fsfe.org/news/2009/news-20091019-01.de.html ]
19. Oktober 2009, 13:30 CEST, Berlin, Deutschland
Das neueste Betriebssystem der Firma Microsoft, Windows 7, wird zur Zeit mit einem möglicherweise ernsten Fehler ausgeliefert. Vor dem weltweiten Verkaufsstart am Donnerstag veröffentlichte das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Warnung [1] vor einer hochriskanten Schwachstelle im SMB2-Protokoll. Sie kann über das Netzwerk ausgenutzt werden, um einen Computer mittels eines Denial of Service (DoS)-Angriffs lahmzulegen.
Dieser Zwischenfall verdeutlicht, wie proprietäre Software oft ein Sicherheitsrisiko darstellt. „Nur Microsoft kann dieses Problem lösen. Doch die Firma hat offensichtlich seit langem ihre Augen vor dieser Sicherheitslücke verschlossen und gehofft, dass sie ihnen am Donnerstag den Verkaufsstart von Windows 7 nicht verderben würde“, sagt Karsten Gerloff, Präsident der Free Software Foundation Europe (FSFE).
Das BSI hat sich hier an der üblichen Vorgehensweise bei der verantwortungsbewussten Enthüllung solcher Lücken orientiert und in der Meldung vom 6. Oktober keine Details veröffentlicht. Im Allgemeinen ist es zwar eine gute Taktik, den Herstellern Zeit zur Behebung der Schwachstellen zu geben, bevor sie veröffentlicht werden, allerdings sollte das BSI in diesem Fall doch darüber nachdenken, durch die Veröffentlichung aller Details mehr Druck auf Microsoft auszuüben. Das Amt erklärt, die Sicherheitslücke betreffe sowohl Windows 7 als auch Vista, jeweils in der 32- und 64-Bit-Version, sowie Windows Server 2008. Die Schwachstelle unterscheidet sich von einem früheren SMB2-Problem, [2] für das Microsoft im September den Patch MS09-050 veröffentlichte.
Gerloff (FSFE) erklärt weiter: „Microsofts Software legt ihre Benutzer in Ketten, so dass diese auch dann nicht wechseln können, wenn der Konzern sie wissentlich einem Sicherheitsrisiko wie diesem aussetzt. Bei Freier Software wie GNU/Linux – Software, die man untersuchen, weitergeben und verbessern kann – gibt es mehrere Ansprechpartner, die ein Problem lösen können. Kunden sollten Microsofts fahrlässiges Verhalten nicht unterstützen, indem sie Produkte dieser Firma kaufen. Freie Software bietet eine Alternative und ist von vielen unabhängigen Anbietern erhältlich.“
Microsoft hat bis jetzt noch nicht auf die Meldung des BSI geantwortet. Es gibt keinerlei Anzeichen, dass der Konzern diese klaffende Lücke in seinem Vorzeigebetriebssystem schließen wird, bevor Windows 7 am Donnerstag weltweit veröffentlicht wird. Selbst nach Microsofts Patch-Day im Oktober bleibt die Schwachstelle bestehen.
Schon seit langem sind die Sicherheitspraktiken des Konzerns Grund zur Sorge. Bei einem anderen jüngeren Zwischenfall [3] wusste Microsoft seit Juli 2009 über eine andere Schwachstelle in SMB2 Bescheid. Zwar wurde das Problem Anfang August in Windows 7 behoben, allerdings nicht in Windows Vista oder Windows Server 2008 – bis ein unabhängiger Sicherheitsspezialist das Problem an die Öffentlichkeit brachte. Die IT-Nachrichtenseite Heise vermutet, dass das Problem auf einer Microsoft-internen Liste von Bugs niedriger Priorität landete, die der Konzern geräuschlos zu beheben versucht, um schlechte Presse zu vermeiden. [4]
[1] https://www.cert-bund.de/advisoryshort/CB-K09-0315%20UPDATE%201 [2] http://www.microsoft.com/technet/security/advisory/975497.mspx [3] http://www.h-online.com/security/news/item/Microsoft-has-known-of-the-SMB2-h... [4] http://www.heise.de/security/meldung/SMB2-Luecke-offenbar-schon-laenger-bei-...
== Über die Free Software Foundation Europe ==
Die Free Software Foundation Europe (FSFE) ist eine gemeinnützige, regierungsunabhängige Organisation, die in vielen Ländern Europas aktiv und in vielen globalen Aktionen involviert ist. Der Zugang zu Software entscheidet über die Teilhabe an der digitalen Gesellschaft. Um Chancengleichheit im Informationszeitalter und die Freiheit des Wettbewerbs sicherzustellen, widmet sich die Free Software Foundation Europe (FSFE) der Förderung Freier Software, welche dadurch definiert wird, dass sie von jedem Menschen uneingeschränkt benutzt, untersucht, verändert und weitergegeben werden kann. Dies ins öffentliche Bewusstsein zu rücken und der Freien Software politische und rechtliche Sicherheit zu verschaffen, sind die wichtigsten Ziele der FSFE, die 2001 gegründet wurde.
Weitere Informationen über die Arbeit der FSFE finden Sie auf http://fsfe.org/
== Kontakt ==
Karsten Gerloff Präsident Free Software Foundation Europe E-Mail: press at fsfeurope.org Mobil: +49-176-96904298
press-release-de@lists.fsfe.org