Windows 7 wird mit bekannter Sicherheitslücke Veröffentlicht

FSFE: Microsofts Fahrlässigkeit verdeutlicht den Wert von Freier Software

Das neueste Betriebssystem der Firma Microsoft, Windows 7, wird zur Zeit mit einem möglicherweise ernsten Fehler ausgeliefert. Vor dem weltweiten Verkaufsstart am Donnerstag veröffentlichte das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Warnung [1] vor einer hochriskanten Schwachstelle im SMB2-Protokoll. Sie kann über das Netzwerk ausgenutzt werden, um einen Computer mittels eines Denial of Service (DoS)-Angriffs lahmzulegen.

Dieser Zwischenfall verdeutlicht, wie proprietäre Software oft ein Sicherheitsrisiko darstellt. „Nur Microsoft kann dieses Problem lösen. Doch die Firma hat offensichtlich seit langem ihre Augen vor dieser Sicherheitslücke verschlossen und gehofft, dass sie ihnen am Donnerstag den Verkaufsstart von Windows 7 nicht verderben würde“, sagt Karsten Gerloff, Präsident der Free Software Foundation Europe (FSFE).

Das BSI hat sich hier an der üblichen Vorgehensweise bei der verantwortungsbewussten Enthüllung solcher Lücken orientiert und in der Meldung vom 6. Oktober keine Details veröffentlicht. Im Allgemeinen ist es zwar eine gute Taktik, den Herstellern Zeit zur Behebung der Schwachstellen zu geben, bevor sie veröffentlicht werden, allerdings sollte das BSI in diesem Fall doch darüber nachdenken, durch die Veröffentlichung aller Details mehr Druck auf Microsoft auszuüben. Das Amt erklärt, die Sicherheitslücke betreffe sowohl Windows 7 als auch Vista, jeweils in der 32- und 64-Bit-Version, sowie Windows Server 2008. Die Schwachstelle unterscheidet sich von einem früheren SMB2-Problem, [2] für das Microsoft im September den Patch MS09-050 veröffentlichte.

Gerloff (FSFE) erklärt weiter: „Microsofts Software legt ihre Benutzer in Ketten, so dass diese auch dann nicht wechseln können, wenn der Konzern sie wissentlich einem Sicherheitsrisiko wie diesem aussetzt. Bei Freier Software wie GNU/Linux – Software, die man untersuchen, weitergeben und verbessern kann – gibt es mehrere Ansprechpartner, die ein Problem lösen können. Kunden sollten Microsofts fahrlässiges Verhalten nicht unterstützen, indem sie Produkte dieser Firma kaufen. Freie Software bietet eine Alternative und ist von vielen unabhängigen Anbietern erhältlich.“

Microsoft hat bis jetzt noch nicht auf die Meldung des BSI geantwortet. Es gibt keinerlei Anzeichen, dass der Konzern diese klaffende Lücke in seinem Vorzeigebetriebssystem schließen wird, bevor Windows 7 am Donnerstag weltweit veröffentlicht wird. Selbst nach Microsofts Patch-Day im Oktober bleibt die Schwachstelle bestehen.

Schon seit langem sind die Sicherheitspraktiken des Konzerns Grund zur Sorge. Bei einem anderen jüngeren Zwischenfall [3] wusste Microsoft seit Juli 2009 über eine andere Schwachstelle in SMB2 Bescheid. Zwar wurde das Problem Anfang August in Windows 7 behoben, allerdings nicht in Windows Vista oder Windows Server 2008 – bis ein unabhängiger Sicherheitsspezialist das Problem an die Öffentlichkeit brachte. Die IT-Nachrichtenseite Heise vermutet, dass das Problem auf einer Microsoft-internen Liste von Bugs niedriger Priorität landete, die der Konzern geräuschlos zu beheben versucht, um schlechte Presse zu vermeiden. [4]

[1] Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Warnung herausgegeben
[2] Microsoft Security Advisory (975497): Vulnerabilities in SMB Could Allow Remote Code Execution
[3] Microsoft has known of the SMB2 hole for some time
[4] SMB2-Lücke offenbar schon länger bei Microsoft bekannt

$Date: 2009-10-20 12:06:36 +0200 (Tue, 20 Oct 2009) $ $Author: schiessle $ Thomas Demmel