>> Stefan Kanthak wrote:
>>> Dann informiere Dich ENDLICH ueber die Funktionsweise und die
>>> daraus resultierenden Schwachstellen des von Dir missbrauchten
>>> OS: eine GANZE Reihe von Sicherheitsluecken baust Du durch
>>> Ignoranz in Deine Programme ein.
>>
>> Ich weiß, es ist viel verlangt, aber bitte nenne mir doch
>> mindestens ein Beispiel dafür, das ich verstehe (oder von dem Du
>> erwartest, dass das irgend ein anderer verstehen könnte ;o) und am
>> Besten auch sofort anwenden kann. Mir bleibt nämlich völlig
>> unverständlich, wie ein triviales Programm (z.B. eine
>> Textverarbeitung oder ein Paint), das nur die Windows-API
>> verwendet, Sicherheitslücken öffnen könnte, die nicht sowieso schon
>> in Windows vorhanden sind.
>
> Hierzufred geht's NICHT um triviale (und in SICHEREN Verzeichnissen
> installierte) Programme, sondern um Installations-Programme, die
> typischerweise mit Administratorrechten laufen und in UNSICHEREN
> Verzeichnissen gestartet werden.
Aha und in dem Zustand könnte das Windows "geentert" werden.
>> Warum soll es das Problem des Programmierers sein, wenn ein
>> Programm ohne sicherheitsrelevante Funktionen, das ganz normal mit
>> Userrechten läuft, irgendwelche Sicherheitslücken erzeugen kann?
>
> Seit Anbeginn der Zeiten von MS-DOS und dessen Nachfolger Windows
> ist . alias CWD im Suchpfad. Die daraus resultierenden Schwachstellen
> sind seit ueber 20 Jahren wohlbekannt und wohldokumentiert, u.a. im
> Auftrag der NSA: siehe
> <
http://www.blacksheepnetworks.com/security/info/nt/ntintrotosec.htm>.
Stimmt, bei Linux geht das nicht - Du meinst MS versäumt es seit 20
Jahren, diese Lücke zu schließen?
Doppelclick auf Anhänge? Der Klassiker, eine der schlimmsten Sachen, die
MS jemals verbockt hat, aber ist ja soooo bequem und den Ärger hat
sowieso nur der User, der es ja sooo bequem haben muss. Jetzt alle eine
Runde Mitleid?
<snip>
Das ist alles so viel, ich arbeite hier nicht für MS, weißt Du. Und
entschuldige bitte, so viel Mühe solltest Du Dir wirklich nicht machen!
Ich will ja gar nicht mehr für diese Plattform entwickeln und das Ende
ist langsam in Sicht. :o)
Ich bin aber trotzdem einigen Links nachgegangen und habe sogar die
MSI-Beschreibung von Microsoft gefunden - ist ja recht detailliert.
Bei der Wikipedia sind mir aber wieder die Gesichtszüge entgleist:
"Es gibt Hersteller, die Editoren für MSI-Dateien bereithalten, wie z.
B. Flexera Software mit dem Produkt InstallShield. Weitere Produkte sind
Advanced Installer von Caphyon, Wise Installer von Symantec,
AKInstallerMSI von AKApplications und InstallAware von InstallAware
Software Corporation. Auch die Entwicklungsumgebungen Visual Studio (ab
Version 2002) von Microsoft erlauben im begrenzten Umfang die Erstellung
von Windows-Installer-Paketen."
Also weißt Du, so wichtig kann das gar nicht sein, wenn Microsoft selber
es nicht nötig hat, für so etwas Systemwerkzeuge bereit zu stellen. Man
soll sich also ein Produkt kaufen, damit die Windows-Installation sicher
ist? War ja klar, geht nicht um Sicherheit, sondern nur um die Kohle.
>> An "WannaCry" ist inzwischen ja auch die NSA schuld (weil die die
>> Lücke nicht veröffentlich haben) und nicht MS (obwohl die die Lücke
>> programmiert haben)... :o/
>
> Falsch. Microsoft hat diesen Fehler NICHT mit Absicht eingebaut;
Ach ja, der eiserne Rechtsgrundsatz, dass man nur für absichtliche
Fehler haften muss! Finde ich gut, sonst könnte man auch keine
Atomkraftwerke mit Rissen im Containment betreiben, wie das in
Flamanville geplant ist.
> Microsoft hat die Korrektur VOR dieser Veroeffentlichung
> herausgegeben, zwei Monate bevor WannaCry in Umlauf gebracht wurde.
Danach haben sie sogar ein Update für XP herausgegeben, weil es
scheinbar nicht richtig geklappt hat, zigtausend Rechner zu bricken,
damit die Leute endlich eine neue Windows-Version kaufen.