Arten Sicherheitslöcher Windows-Welt?

Internet Internet Sicherheit
1

Hallo www-Welt
Ich habe eine etwas grundsätzliche Frage: Was gibt bzw. gab es für Arten von Sicherheitslöcher in der Windows-Welt?

Vielleicht gibt es im Netz ja irgendwo eine Übersicht.

Herzlichen Dank für Eure Tipps!
Gruss
Andreas

2

Hallo Andreas,

Ich habe eine etwas grundsätzliche Frage: Was gibt bzw. gab es
für Arten von Sicherheitslöcher in der Windows-Welt?

Ääh, was willst du hören ?
Softwarefehler ?
Oder ganz einfach schlampige Programmierung ?

Grundsätzlich sind es nur zwei verschiedene:

  1. Von ausserhalb des Systems emppfangene Daten, werden nicht auf Gültigkeit geprüft. Werden fehlerhafte Daten empfangen, wird dies nicht erkannt. z.B. Bufferoverrun ein zu grosser Datenblock wird in den zu kleinen Puffer gespeichert und überschreibt alles was ‚hinter‘ dem Puffer liegt.

  2. „Tolle bunte WinWelt“. Es wurden tolle Features eingebaut (AktiveX, VB, Jscipt, …) um alles automatisieren zu können, möglichst aus HTML-Seiten. Tja, und dann kann halt jeder auf deine Dateien zugreifen…

MfG Peter(TOO)

3

Hallo

  1. […]
  1. […]
  1. „Social engeneering“ im weiteren Sinne. Der User wird durch belanglos aufploppende Popups ermädet, bis er bei einem „gefährlichen“ auch auf „Ok“ klickt.

Sebastian

4

Hallo

Hi,

  1. […]
  2. […]
  1. […]
  1. „Volksverdummung“: der user wird (IMHO bewusst) im Dunkeln gelassen oder gar belogen und erfaehrt ueberhaupt nichts ueber die im Grunde einfachen, zugrundeliegenden Technologien und deren Risiken (oder zumindest Quellen mit Informationen dazu). „Point there, click this, select tab, check box… what am I doing here?“

Ich glaube, der thread koennte sehr lang werden,
Gruss vom Frank.

5

Hallo

Hi,

  1. […]
  2. […]
  1. […]
  1. […]
  1. Lügen. Wir machen jede Transaktion einen Cent billiger. Wir
    schreiben Sicherheit groß (SICHERHEIT). Wir lösen eurer Problem.

Stefan

6

ernsthafter…
Salü Andreas

Nachdem Du bisher eher launige, allgemeine Antworten auf Deine wenig präzise Frage erhalten hast, versuche ich es mal:

Wenn ich Deine Frage richtig verstehe, müsste es heissen:
Welche Sicherheitsaspekte hat Software, spezifisch die der Firma Microsoft?

Antworten auf diese Annahme / Interpretaion Deiner Frage:

  1. Allgemein
    Da wir zuerst einig sein sollten, was die einzelnen „Begriffe“ so ungefähr bedeuten / umfasssen, ist ein anerkanntes Glossar der Anfang:
    http://www.security-check.ch/glossar.cfm

1.1 BSI und PC Software
Das BSI liefert Dir mal einen ersten Überblick über die Sicherheitsaspekte eines IT - Systemes. Du kannst z.B. hier auf die Schaltflächen „Windows 2000“ oder „Win 95“ klicken:

http://www.bsi.bund.de/gshb/deutsch/etc/navisd2.htm

Dort findest Du folgende Gefahrenkategorien:
Höhere Gewalt
Bsp. Feuer

Organisatorische Mängel
Bsp. Mangelhafte Anpassung an Veränderungen beim IT-Einsatz

Menschliche Fehlhandlungen
Bsp. Fehlerhafte Nutzung des IT-Systems

Technisches Versagen
Bsp. Bekanntwerden von Softwareschwachstellen

Vorsätzliche Handlungen
Bsp. Trojanische Pferde

  1. Software & Microsoft - aktuelle Fehlerinfos und SW
    Softwaretechnischer über die Produkte der Firma Microsoft findest Du aktuelle Infos (MS stellt seine URL von Zeit zu Zeit um :frowning: ) hier:
  2. „Security Bulletins“ der Firma Microsoft
    http://www.microsoft.com/germany/ms/technetservicede…
    Meta-Information über diese „Security Bulletins“:
    http://www.microsoft.com/germany/ms/security/wissens…
    MS Linksammlung (Tools & Info) zur Sicherheit von MS Produkten:
    http://www.microsoft.com/germany/ms/security/tools.mspx

2.1 Software & Microsoft -
aktuelle Fehlerinfos von unabhängigen Portalen / Sites
„Bugtraq“ von securityfocus.com
http://www.securityfocus.com/archive/1
Bugtraq gilt als Die Sicherheits-Mailingliste schlechthin. In erster Linie werden dort die neuesten Sicherheitslücken und Exploits bekannt gegeben. Desweiteren werden auf SecurityFocus vergleichbare Mailinglisten, die jeweilgs nach Themengebieten unterteilt sind (z.B. Windows, Solaris und Intrusion Detection), angeboten.

„Heise“ Security News
http://www.heise.de/security/news/
Wie „üblich“ für den Heise Verlag, eine der qualitativ besten deutschsprachigen Infoquellen

http://lists.netsys.com/mailman/listinfo/full-disclo…
Viele Leute beklagen sich über das sinkende Niveau der Bugtraq-Mailingliste: Uninteressante und unfundierte Postings scheinen sich zu häufen. Als direkter Mitkonkurrent wird die Mailingliste Full-Disclosure angesehen. Es werden auch hier neue Schwachstellen publiziert und diskutiert. Viele Emails, die auf Bugtraq geschickt werden, werden zeitgleich auch an Full-Disclosure geschickt. Abonniert man beide Mailinglisten, ist man stets auf dem Laufenden, was neue Sicherheitslücken betrifft.

Grüsse Peter
PS:
Meine ganz persönliche Erfahrung:
Wenn in W-W-W Foren, keine oder „launige“ Antworten auf eine Frage kommt so bestehen (IMHO) diese Möglichkeiten:
A: habe ich ein Mehrfachposting gemacht
B: habe ich ohne nachdenken gepostet (Sherlock Holmes: „Also gut erzählen Sie bitte mal von Anfang an und schön chronologisch“)
C: habe ich kein / falsches Grundlagenbuch zur allgemeinen Thematik dieses Forums gelesen
D: habe ich das falsche Forum erwischt
:wink:

Ich habe eine etwas grundsätzliche Frage: Was gibt bzw. gab es
für Arten von Sicherheitslöcher in der Windows-Welt?

Vielleicht gibt es im Netz ja irgendwo eine Übersicht.

Herzlichen Dank für Eure Tipps!
Gruss
Andreas