{"id":1353,"date":"2010-07-07T23:35:12","date_gmt":"2010-07-07T22:35:12","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/1353-manchen-kann-man-es-einfach-nicht-recht-machen"},"modified":"2025-04-05T20:36:23","modified_gmt":"2025-04-05T18:36:23","slug":"manchen-kann-man-es-einfach-nicht-recht-machen","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/1353-manchen-kann-man-es-einfach-nicht-recht-machen","title":{"rendered":"Manchen kann man es einfach nicht recht machen"},"content":{"rendered":"

Microsoft beispielsweise<\/a>. Erst mault der Softwarehersteller st\u00e4ndig \u00fcber Full Disclosure, d.h. wenn Sicherheitsl\u00fccken komplett f\u00fcr jeden zug\u00e4nglich ver\u00f6ffentlicht werden (weil die b\u00f6sen Hacker die Informationen ja auch lesen k\u00f6nnen), jetzt mault der Softwarehersteller \u00fcber „Null Disclosure“, d.h. \u00fcber Firmen die auf gefundenen Sicherheitsl\u00fccken sitzenbleiben und Details nur gegen bares heraus r\u00fccken.<\/p>\n

Tja liebes Microsoft. Wer auf soviel Cash sitzt wie ihr muss vielleicht selbst mal ein vern\u00fcnftiges Bounty-Programm („Pr\u00e4mien f\u00fcr gefundene Sicherheitsl\u00fccken“) aufsetzen. Dann klappt es auch wieder mit dem „Responsible Disclosure“, d.h. au\u00dfer dem Hersteller erf\u00e4hrt sonst niemand von der L\u00fccke. Denn ganz ehrlich, Fehlersuche ist harte Arbeit geworden. Die Zeiten als man mit einem billigen selbstgebastelten Fuzzer noch wahre Exploitorgien finden konnte sind lange vorbei. Viele dieser Tests machen die Softwarehersteller inzwischen selbst.<\/p>\n

Ob der Weg von VUPEN allerdings richtig ist, erst nach L\u00fccken zu suchen und dann den Softwareanbieter unter Druck zu setzen entweder er zahlt oder die L\u00fccken werden anderweitig ver\u00f6ffentlicht, muss ich allerdings bezweifeln. Und da kann ich wiederum Microsoft gut verstehen, die sich in diesem Fall vermutlich direkt erpresst vorkommen und f\u00fcrchten f\u00fcr umfangreiche weitere Erpressungen die T\u00fcr zu \u00f6ffnen.<\/p>\n

Auf jeden Fall bleibt es spannend.<\/p>\n","protected":false},"excerpt":{"rendered":"

Microsoft beispielsweise. Erst mault der Softwarehersteller st\u00e4ndig \u00fcber Full Disclosure, d.h. wenn Sicherheitsl\u00fccken komplett f\u00fcr jeden zug\u00e4nglich ver\u00f6ffentlicht werden (weil die b\u00f6sen Hacker die Informationen ja auch lesen k\u00f6nnen), jetzt mault der Softwarehersteller \u00fcber „Null Disclosure“, d.h. \u00fcber Firmen die auf gefundenen Sicherheitsl\u00fccken sitzenbleiben und Details nur gegen bares heraus r\u00fccken. Tja liebes Microsoft. Wer […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[8,6],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1353"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=1353"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1353\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=1353"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=1353"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=1353"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}