15.02.2002

GRUNDLAGEN

Bildquelle:

Sicherheitsdebatte um .NET-Tool

Ausgerechnet ein Feature das zu Microsofts neuem Web Services Development Tool Kit hinzugefügt wurde, um die Sicherheit zu erhöhen, soll nach Angaben von Sicherheitsexperten Gary McGraw, Chief Technology Officer von Cigital, eine Schwachstelle aufweisen, die Attacken Tür und Tor öffnet.

"Es ist doppelt ironisch", meint McGraw über den Bug,"es ist nicht nur eine Sicherheitslücke sondern eine Lücke in einem neuen Sicherheits-Feature."

Visual C++ Version 7

Die neue Schwachstelle wurde in Visual C++ .NET, auch Version 7 genannt, entdeckt und kann alle mit dem .NET-Toolkit geschriebenenen Programme betreffen, meint der Sicherheitsexperte des auf Softwaresicherheit spezialisierten Unternehmens Cigital.

Bug im Compiler ermöglicht ¿Buffer overflow"

"Das Feature wurde weder richtig konstruiert noch korrekt implementiert. Statt irgendetwas sicherer zu machen, tut es rein garnichts." meint McGraw, auch Author des Buchs "Buildung Secure Software".

Widersprüchliche Reaktionen bei MS

McGrew sagt weiters, dass er bereits mit mehreren Microsoft Mitarbeitern gesprochen hätte, und diese die Sicherheitsschwachstelle ihm gegenüber eingestanden hätten.

Seiner Ansicht nach wird Microsoft den Bug bis zur nächsten Version des Tool-Kits ausgebessert haben und alle Entwicklern inzwischen raten, das neue Feature bei der Programmierung nicht zu benutzen.

Inzwischen reagierte Brandon Bray von Microsofts Visual-C++-Team auf die Entdeckung, und bestätigte, dass der Compiler, der die Sicherheitsüberprüfung einschalte, nicht alle Möglichkeiten für Buffer Overflows entdecken könne.