discuss it!
« Willkommen in der Überwachungs-Ära
Arbeiten und arbeiten lassen »

MS-Patchday - Bilanz

Vor zwei Tagen war ja mal wieder ein “monthly Patchday” bei MS. Mal ganz davon abgesehen, dass einmal monatlich eigentlich viel zu oft ist, hier nun eine Bilanz:

Einige, genaugenommen drei, Bugs wurden behoben. War halt ein relativ ruhiger Monat. Interessant dabei ist, dass die Schwachstelle MS06-040, im “Server”-Dienst (Dateifreigabe, etc.) bereits gepatcht war. Nur hat Microsoft mit diesem Patch eine neue Schwachstelle ausgeliefert. Ist ja nicht so, dass das das erste Mal wäre.

Damit aber nicht genug. Die kürzlich bekannt gewordenen Schwachstelle in Word 2000 wurde nicht behoben. Eine knappe Woche ist halt zu wenig. Dafür sollte man allerdings Verständnis haben. Ein buffer overflow ist nunmal _sehr_ schwer zu stopfen… ;)

Wenn freut’s? Klar. Die blackhats. Sie brauchen kurz nach dem Patchday nicht gleich ihre wertvollen 0-days verpulvern. Die MS Word 2000 Schwachstelle sollte ja noch einen knappen Monat in ausreichender Anzahl zur Verfügung stehen… :)

Kleiner Überblick darüber hier.

MS06-040 […] Multiple botnets actively exploiting this.

In diesem Sinne, viel Spaß weiterhin.

Von: SkyFlash | 14.09.06 | Computer & Co. | Trackback | Kommentare [RSS 2.0]

4 Antworten to “MS-Patchday - Bilanz” »»

  1. schmidtl
    Kommentar by schmidtl | 18.09.06 at 6:42

    Warum ist einmal im Monat zu oft? Bei der Konkurrenz, konkret Debian, kommen mehrmals wöchentlich Sicherheitspatches..oder hab ich da wieder irgendeine Ironie verpasst?

  2. SkyFlash
    Kommentar by SkyFlash | 19.09.06 at 14:55

    Jepp. Du hast den feinen Zynismus verpasst. Vielleicht sollte ich in Zukunft sowas ein bissl deutlicher machen. ;)

    Natürlich ist einmal monatlich _VIEL_ zu selten…

    (btw, der gleiche Zynismus ist auch bei dem Schwierigkeitsgrad des Patchens eines Buffer-Overflows zu finden.)

  3. schmidtl
    Kommentar by schmidtl | 27.09.06 at 11:07

    Ja…führe er ein [ZYN] Tag ein, extra für mich :) Ist mir doch tatsächlich etwas entgangen. Mal ne schöne Statistik zum MS Patchwahn, neulich auf OSNews aufgeschnappt: Eine WinXP Installation des ersten Auslieferungsstandes umfasste damals ca. 950MB (die Angaben bepiehen dich jeweils auf die Größe des Win Verzeichnisses) Wurde das System ordentlich jepatched (SP2 u.s.w) kommt es heut auf stolze 2,5GB. Irgendwie beängstigend…

  4. SkyFlash
    Kommentar by SkyFlash | 27.09.06 at 16:06

    Diese Diskussion gab’s kürzlich auch auf Full Disclosure (bin aber nicht ganz sicher, kann auch ne andere liste gewesen sein…). Man darf dabei allerdings eines nicht vergessen: Die Differenz ist _NICHT_ der Umfang der Patches. Viel (*normale*, wenn man so will) Funktionalität wird üblicherweise mit SP’s nachgerüstet. Und das macht den Löwenanteil aus. Ausnahmsweise muss ich daher Microsoft diesmal in Schutz nehmen.

    Und mal ehrlich, summier mal die Patches für Linux in diesem Zeitraum (ebenfalls nur sicherheitsrelevante). _SO VIEL_ weniger ist’s auch nicht.

    Entscheidend ist nicht der Umfang der Patches, sondern die zeitliche Nähe zum Bekanntwerden der Schwachstelle. Und da hängt Microsoft halt deutlich hinterher.

Kommentieren »»

Get Firefox!

discuss it! is proud to be powered by WordPress and uses a Design based on equiX.
Code is Poetry | CSS | XHTML