Visual C++.Net soll angeblich Sicherheitslöcher einbauen

15. Februar 2002, 13:00
6 Postings

Microsofts Entwicklungsumgebung schon im Kreuzfeuer der Kritik - Programmierer sollen versehentlich angreifbare Software schreiben können

Kaum ist sie da - schon wird sie kritisiert. Erst seit Mittwoch ist die Microsoft Entwicklungsumgebung Visual Studio.Net offiziell erhältlich, doch erste Kritiker warnen schon vor einer Sicherheitslücke. Diese soll es laut Angaben der amerikanischen Sicherheitsfirma Cigital erlauben, dass Programmierer versehentlich Software schreiben, die leicht attackierbar ist.

Buffer Overflow im Stack

Die beschriebene Sicherheitslücke kommt laut Cigital sowohl im Compiler von Visual C++.Net als auch bei Visual C++ Version 7 vor. Der Compiler soll der Compiler anfällig sein, im Stack eines Programms einen Buffer Overflow zu erzeugen. Angreifer könnten diese Lücke dazu nutzen, Zugriffe auf Rechner zu erlangen oder Codes auf fremden PCs auszuführen.

Kein Risiko

Gleichzeitig vermeldet Cigital allerdings, dass dieses Sicherheitsloch kein großes Risiko darstellt, da Visual Studio.Net erst veröffentlicht worden sei. Laut den Angaben der Firma soll es zu dem sehr kompliziert sein, diese Lücke für Angriffe zu nutzen. Cigital möchte die Veröffentlichung diese Lücke als Warnung an alle Programmierer verstanden wissen. Diese sollen nicht einem falschen Sicherheits-Gefühl unterliegen und ihre Programm-Codes ständig auf Lücken prüfen. Diese unter dem Namen Software Risk Manamement bekannte Vorgehensweise ist übrigens eines der Hauptgeschäftsfelder von Cigital. Microsoft hat in seinem Compiler zwar ein Feature, dass einen Buffer Overflow in einer Software verhindern soll, doch ist der Compiler an sich für einen solchen anfällig.

Wider den Codex, oder Werbung?

Von Seiten Microsofts zeigte man sich verwundert über die Veröffentlichung einer Sicherheitslücke durch eine Software-Sicherheitsfirma ohne die betroffenen Firma informiert zu haben. Insider orten einen Bruch des bei Mailinglisten üblichen Verhaltenscodex und sehen darin auch einen möglichen Werbefeldzug einer Sicherheitsfirma. Von Seiten des Softwarekonzerns hieß es lediglich, dass man bei Microsoft nicht gesagt habe, dass mit dem Compiler automatisch sichere Anwendungen zu erwarten seien - daher gebe es auch keinerlei Grund etwas zu fixen. Hier ist das Statement von Brandon Bray, einem Microsoft-Mitarbeiter nachzulesen. (red)

Share if you care.