Räucherstäbchen bei indilaya.de
Indische und tibetische Räucherstäbchen, Räucherkegel, Dhoop Sticks, Räucherwerk, Zubehör und vieles mehr...
26. März 2010
Der Sicherheitsexperte Charlie Miller hat zum dritten Mal beim Pwn2Own-Wettbewerb anlässlich der Sicherheitskonferenz CanSecWest einen Geldpreis gewonnen. In diesem Jahr erhielt er den Preis wegen der Demonstration einer Sicherheitslücke in Apples Safari-Browser auf einem MacBook Pro. Dafür erhielt er das Notebook, ein Preisgeld von 10.000 Dollar sowie einen Flug nach Las Vegas zur nächsten DefCon-Konferenz.
Doch die von ihm demonstrierte Sicherheitslücke war nur eine von vielen, die Miller bei seinen Tests mit einem "dumb fuzzer" in den verschiedensten Produkten (u.a. MS PowerPoint Presentation Maker; Adobe PDF viewer, OpenOffice.org etc.) und auch Betriebssystemen finden konnte: Dabei startete er seine Tests eigentlich mit der Erwartung, keine Probleme zu finden, "aber ich fand Fehler, massenhaft Fehler. Das war überraschend und enttäuschend zugleich".
Aus eben diesem Grund verweigert Miller auch
die Herausgabe weiterer Informationen über die Sicherheitslücken. Die
Firmen, so meint er, nutzen nach eigenen Angaben ebenfalls Fuzzing,
finden aber die Sicherheitslücken nicht. Er will sie daher motivieren,
ihr Vorgehen zu verbessern oder zu intensivieren. Sonst wäre das einzige Ergebnis seiner Fehlersuche, dass wieder ein kleines Stückchen Flickwerk produziert wird - und sonst nichts.
Wobei es angesichts dieser Darstellung sicher sinnvoll wäre, die in den Teams beziehungsweise den Unternehmen stattfindenden Prozesse zu durchleuchten. Denn es klingt schon unglaublich, wenn Miller mit einem bekannten und unaufwändigen Prüfverfahren so viele Fehler gefunden haben will, die den Sicherheits-Teams der Unternehmen entgangen sein sollen. Bedenklich wäre es erst recht, wenn diese Probleme in den Unternehmen bekannt wären, aber man sie aus welchen Gründen auch immer ignorierte.
Links:
| < Neuere | Ältere > |
|---|
