by ·Keine Kommentare

Eigentlich wäre mir die Meldung keinen Kommentar wert: Windows-Editor: Details zur Markdown-Sicherheitslücke.

Immer wenn ich von Windows Notepad höre denke ich an die „this app can break“-Nummer, die älteren erinnern sich vielleicht. Gerade habe ich nachgesehen, und mein Kommentar dazu ist fast genau 20 Jahre alt. :-)

Ich hätte nicht damit gerechnet, aber offenbar wird das Programm auch in 2026 immer noch genutzt. Und Microsoft hat die Zeit genutzt um den ursprünglich mal schlank-minimalistischen Editor aufzublasen. Rausgekommen ist neben Markdown-Funktionalität ein CVE-Eintrag der Stufe „High“. Remote Code Execution.

Ich stelle mir mal einen Timer für 2046, bin gespannt wie es dann darum stehen wird… :-)

by ·Keine Kommentare

Achtung, sicher!

Achtung, sicher!

Es ist wirklich kein schöner Anblick, und ich fühle mich jetzt auch etwas schmutzig. Fragt bitte nicht wo ich mich mit einem Windows 2003 Server in Verbindung gesetzt habe.

Fakt ist: ich habe versucht den Server mit Google in Verbindung zu bringen. Und der verwendete Internet Explorer hat mich gewarnt (!) daß ich auf einer sicheren Verbindung unterwegs bin.

Früher war nicht alles besser. Echt nicht. Das gilt für Windows doppelt…

by ·Keine Kommentare

Interessant, was da bei Heise steht: der Softwarehersteller Symantec warnt vor der Benutzung eines seiner Produkte, weil vor sieben Jahren jemand die Sourcen gesehen kopiert hat. Es geht ausgerechnet um pcAnywhere, ein Fernwartungs- oder Fernsteuer-Tool für Windows-Rechner.

Folgendes lese ich aus dem Artikel:

  • Bekannte Quelltexte bedeuten in den Augen von Symantec ein Sicherheitsrisiko. Offenbar besteht Sicherheit in dem Fall nur theoretisch: nur weil ein Angreifer den Algorithmus kennt darf der IMHO nicht als kompromittiert gelten. Security by Obscurity funktioniert nicht.
  • Es gibt Sicherheitsprobleme (‚bekannte Schwachstellen‘), offenbar schon seit mindestens sechs Jahren.
  • Die bekannten Löcher sollen jetzt Schritt für Schritt ausgemerzt werden. Jetzt. Schritt für Schritt.

Muss ich mir jetzt Sorgen um die Sicherheit meiner Rechner machen? Immerhin ist da fast ausschliesslich Software im Einsatz bei der Hinz und Kunz die Sourcen lesen können… 8-O

Ich glaube nicht. Zumindest nicht mehr als sonst: natürlich gibt es auch bei Open Source Software immer mal wieder Sicherheitsschwankungen, teilweise sogar drastisch. Aber freie Entwickler müssen sich wirklich Gedanken um Sicherheit machen, da sie sich im klaren sein müssen dass jeder die Quellen sehen kann. Wenn man da auf solche Obscurity-Tricks setzt versaut man sich sehr schnell den Ruf.

Oh, und ich kann es mir nicht verkneifen: nicht-Windows-Betriebssysteme geben einem ausreichend Handwerkszeug um sie zu administrieren und zu benutzen. Auch remote, und wenn es sein muss sogar grafisch. Da muss man kein Geld für ein Tool wie pcAnywhere rauswerfen… :-P