Sicherheitsdebatte um .NET-Tool
Ausgerechnet ein Feature das zu Microsofts neuem Web Services Development Tool Kit hinzugefügt wurde, um die Sicherheit zu erhöhen, soll nach Angaben von Sicherheitsexperten Gary McGraw, Chief Technology Officer von Cigital, eine Schwachstelle aufweisen, die Attacken Tür und Tor öffnet.
"Es ist doppelt ironisch", meint McGraw über den Bug,"es ist nicht nur eine Sicherheitslücke sondern eine Lücke in einem neuen Sicherheits-Feature."
Gates Masterplan setzt auf Sicherheit als oberste
Priorität
Als Microsoft Mitte Jänner erstmals das zentrale Entwickler-Tool
für seine umfassende Netz-Strategie vorgestellt hat, hat Bill Gates
einen neuen Masterplan für den Konzern ausgegeben. Die neue Parole,
die Gates in einem Memo an alle 47.000 Microsoft-Angestellten
ausgab, lautete "Trustworthy Computing" und soll die Sicherheit der
MS-Produkte gegenüber "Hackern und Viren" zur Priorität machen.
Visual C++ Version 7
Die neue Schwachstelle wurde in Visual C++ .NET, auch Version 7 genannt, entdeckt und kann alle mit dem .NET-Toolkit geschriebenenen Programme betreffen, meint der Sicherheitsexperte des auf Softwaresicherheit spezialisierten Unternehmens Cigital.
Präsentation von "Visual Studio .NET"
Noch am Mittwoch hatte Microsoft bei der dreieinhalbstündigen
offiziellen Präsentation des Entwickler-Werkzeugs "Visual Studio.
NET" stolz betont, dass das neue Feature vor allem für eine höhere
Sicherheit von, für die .NET Plattform programmierten, Anwendungen
vorgesehen sei.
Bug im Compiler ermöglicht ¿Buffer overflow"
"Das Feature wurde weder richtig konstruiert noch korrekt implementiert. Statt irgendetwas sicherer zu machen, tut es rein garnichts." meint McGraw, auch Author des Buchs "Buildung Secure Software".
Konkret stecke der Bug im Compiler und ermögliche einen ¿Buffer overflow", dadurch stünde einer Übernahme von Rechnern durch Hacker via ¿Visual Studio.NET"-Anwendungen im Moment nichts im Wege.
Technische Details der SicherheitslückeWidersprüchliche Reaktionen bei MS
McGrew sagt weiters, dass er bereits mit mehreren Microsoft Mitarbeitern gesprochen hätte, und diese die Sicherheitsschwachstelle ihm gegenüber eingestanden hätten.
Seiner Ansicht nach wird Microsoft den Bug bis zur nächsten Version des Tool-Kits ausgebessert haben und alle Entwicklern inzwischen raten, das neue Feature bei der Programmierung nicht zu benutzen.
Inzwischen reagierte Brandon Bray von Microsofts Visual-C++-Team auf die Entdeckung, und bestätigte, dass der Compiler, der die Sicherheitsüberprüfung einschalte, nicht alle Möglichkeiten für Buffer Overflows entdecken könne.
Microsoft habe jedoch niemals gesagt, dass man durch die Compilierung automatisch sichere Anwendungen erwarten könne und daher gebe es an dem Compiler auch nichts zu fixen.
Reaktion von MS-Mitarbeiter Brandon Bray