nicht angemeldet
Sup!
(Lieber Axel!)
Glaubst Du alles, was Du bei Heise liest ohne weitere Prüfung?
Ehm...ja...nein!
Aber Microsoft selbst glaube ich, was sie Schlechtes über sich schreiben:
http://www.microsoft.com/security/security_bulletins/ms02-072.asp
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS02-072.asp
Jetzt reicht bei Microsofts ach-so-professionellen OS Win XP sogar schon das Überfahren des Icons einer manipulierten Datei mit dem Mauszeiger, um einen Buffer-Overflow auszulösen.
Peinlich..Aber hey...Linux hat keine Icons, bei denen das passieren könnte ;-)
Nein, *Kernel* haben wirklich keine Icons. Und alle mir bekannten Window-Manager für X haben keine völlig hirnlosen Funktionen, um Audiofiles beim Überfahren eines Icons dafür zu scannen.
Abgesehen davon müsstest Du (vor dem Lästern) erst mal verstehen, wie sich das mit den Icons unter Windows verhält...
- Es gibt "eingebettete" Icons
- Es gibt externalisierte Icons
Meinst Du damit, daß Icons in .ico-Dateien oder als Ressource in .dll und .exe-Dateien liegen können? Hmmm... das wusste ich auch schon. Du bist MCSE oder sowas, daß Du soviel weisst, oder?
Bei eingebetteten Icons befindet sich das Icon im Programm in einen dafür vorgesehenen Abschnitt. Dieser Abschnitt ist definiert. Ändern man beispielsweise dort einige Werte ab, kann das u.U. dazu führen, das beim Auslesen des ByteStreams ein Fehler auftritt, der zum beschriebenen Problem führt.
Wenn Du den Artikel bzw. das Security-Bulletin gelesen hättest, dann hättest Du vielleicht verstanden, daß dieser Overflow mit den Icons überhaupt nichts zu tun hat. Wenn Du englisch kannst:
"An unchecked buffer exists in one of the functions used by the Windows Shell to extract custom attribute information from audio files. A security vulnerability results because it is possible for a malicious user to mount a buffer overrun attack and attempt to exploit this flaw."
Von Icons ist da keine Rede. Aber interessant, daß man auch Icons so manipulieren kann, daß irgendwas passiert, so daß man die Kontrolle über XP übernehmen kann ;-)
Das hier ein Furz zum Hurrican aufgebauscht wird ist eher lächerlich und zeugt von purem Hass.
Ja, ist schon lächerlich, wenn man das System dadurch übernehmen kann, daß man jemandem ein manipuliertes Audio-File als Mail schickt.
Noch lächerlicher ist natürlich, daß M$ die Auslieferung von Windows 2000 zugunsten von XP einstellen will. Da fällt mir ein: Heisst XP vielleicht Xtreme Pain oder Xtreme Peinlich?
Aber Du hast natürlich auch Recht damit, daß ich Microsoft hasse.
Mal ehrlich: Welche Programmierer rechnet mit einer Manipulation an dieser Stelle, die eigentlich keinen wirklich Sinn hat? Aus diesem Grund wurden dort früher keine Sicherheitsmechanismen eingebaut.
Die Stelle hat keinen Sinn? Früher gab es diese tolle Funktion zum Scannen von Audiofiles durch die Shell in Windows nicht, darum brauchte man dort auch keine Sicherheitsmechanismen. Und _gute_ Programmierer schreiben ihre Programme so, daß es keine Buffer-Overflows geben kann. Theoretisch sollte das jeder C-Anfänger wissen.
Mittlerweile gibt es bei .NET-Programmen einen gewissen Schutz vor Manipulationen wodurch ein solches Problem in dieser Form nicht mehr auftreten dürfte.
Natürlich. Mit .NET wird alles gut. Wenn allerdings in irgendeiner Bibliothek von .NET ein Fehler ist, dann werden ALLE .NET Programme dafür anfällig sein. Ich warte auf die Entdeckung des ersten diesbezüglichen Exploits und den ersten Wurm dafür.
Uhhh... sicher ist das eine total professionelle und wichtige Funktion, die für mehr Nutzerzufriedenheit sorgt, die da irgendwelche Attribute aus Audiodateien ausliest und ganz nebenbei so schlecht programmiert ist, daß es dabei zu Buffer-Overflows kommen kann; Die Funktion muß eigentlich so wichtig und so professionell sein, daß sie es wert ist, die gesamte Systemsicherheit dafür fahrlässig aufs Spiel zu setzen.
Spar' Dir doch diese völlig unqualifizierten, sarkastischen Kommentare. Es gibt schlimmeres als einen solchen Bug - auch auf anderen Betriebssystemen.
Ja, sarkastisch ist der Kommentar. Aber von einem so dämlichen Bug, bei dem eine unnötige Funktion das ganze System komprommitieren kann, habe ich wirklich noch nie gehört. Und so arg unqualifiziert fühle ich mich auch nicht. Schliesslich bin ich Ober-Forums-Microsoft-Gegner... ist das keine Qualifikation?
Wahrscheinlich ist dieser Bug die Krönung von Microsofts Sicherheitsinitiative, die schon seit einem Jahr mit sehr professionellen Resultaten (es werden immer mehr Bugs entdeckt - das ist der Beweis, daß die Initiative wirkt!) läuft. Selten so gelacht!
Das die Fehler gefunden werden und bekannt werden ist schon einmal besser als sie zu vertuschen - auch die Tatsache, das Microsoft einen Teil seiner eigenen Betriebssystem als unsicher klassifiziert ist (neben der strategischen Komponente in Hiblick auf Palladium) ein gutes Signal.
Klar, ein gutes Signal! Das OpenBSD sich als besonders sicher bezeichnet, ist dann wohl ein schlechtes Signal? Wenn ich eine Firma hätte, dann würde ich garantiert keinen unsicheren Microsoft-Kram einsetzen - da können Werte und Arbeitsplätze vernichtet werden, da kann man sich bequemes Festhalten an Microsoft, weil's ja so einfach ist und es alle benutzen, eigentlich nicht leisten.
Ich sag' nur, Leute, vertraut auf die gute Software vom Marktführer, da kann nix passieren, es gibt nichts besseres, Microsoft ist wirklich superprofessionell, gebt 1000 Euro für Windows XP und Office XP aus - es lohnt sich!
Unqualifizierter Sarkassmus. Wenn Du windows nicht magst, nimm was anderes aber erspar' allen diese Heisemässige Diskussion.
Zu einer Diskussion gehören immer Zwei. Strenggenommen hast Du also aus meinem Statement erst eine Diskussion gemacht. Also erspar' uns doch bitte das nächste Mal diese heisemässige Diskussin!
Im übrigen bin ich der Meinung, daß der Themenbereich für das proprietäre Produkt ASP abgeschafft werden soll!
Gerne. Wenn Du dafür einen Bereich für ASP.NET einrichtest - denn hier ist es möglich mittels der (objektiv) ausgezeichneten Sprache C# zu entwickeln - und C# steht kurz vor der Anerkennung zum ISO-Standard. Einer Portierung steht damit erstmal wenig im Wege und somit zieht Dein Argument nicht mehr.
Hmmm... in .NET kann man mit jeder Sprache (C#, VB.NET etc.) Programme erstellen. Für ASP kann man neben VisualBasic(Script) und JScript auch Perl, Phyton und Rexx benutzen. Allerdings ist VBScript Quasi-Standard für ASP, von daher wird sich das wohl auch in .NET nicht unbedingt ändern. Von daher zweifle ich etwas daran, daß C# VB so schnell verdrängen wird. Und auch wenn C# ISO-Standard werden sollte, wäre ASP.NET doch immer noch proprietär, denn C# ist ohne das zugehörige Objektmodell völlig unbrauchbar, das sicher weiter unter der Kontrolle von M$ bleibt und garantiert kein ISO-Standard wird. Ich erinnere an dieser Stelle an ECMA(Java)-Script, daß auch ISO-Standard ist. Vom Standard abgedeckt werden nur die Kernbestandteile der Sprache, die reservierten Worte und die Grammatik. Die Bindung an das DOM (ein anderer Standard) ist nicht mitspezifiziert. Darum kann ich auch weiterhin locker die Abschaffung der Rubrik ASP fordern, den ASP bleibt proprietär. Und für alle vernünftigen Systeme gibt es sowieso PHP, Mason und andere.
Am lustigsten finde ich, daß Du (objektiv) beurteilen kannst, ob eine Sprache (objektiv) ausgezeichnet ist oder nicht. Du findest doch sicher auch XP ganz (objektiv) ausgezeichnet, oder? Wie ist Deine (objektive) Meinung zu Algol, Prolog, Fortran, Brainfuck, Intercal, C++, Java, GWBasic, TurboPascal, Delphi, Eiffel, Hypercard, Tcl, Perl, Ruby und Logo? Oder welche anderen Sprachen ausser C# beherrscht Du noch, so daß Du qualifiziert bist, zu beurteilen, ob C# ausgezeichnet ist oder nicht?
Gruesse,
Bio
Im übrigen bin ich der Meinung, daß der Themenbereich für das proprietäre Produkt ASP abgeschafft werden soll!