FBI-Tipps für Windows-XP
Die gravierenden Sicherheitslücken in Windows XP, die am Donnerstag publik wurden, zeigen immer noch Konsequenzen.
Zum einen fühlt sich die US-Regierung durch mögliche DoS-Attacken [Denial of Service] bedroht und gibt XP-Usern Tipps, die über die von Microsoft in die Wege geleiteten Maßnahmen hinausgehen und so für Verwirrung sorgen dürften.
Gleichzeitig beschert die Aufmerksamkeit, die die XP-Lücken auf sich ziehen, dem Micrcosoft Erzrivalen Oracle ein ruhiges Weihnachtsfest, da eine zeitgleich bekannt gewordene - und ebenfalls gravierende - Lücke im 9i Application Server öffentlich kaum wahrgenommen wird.
Microsoft hat rund zwei Monate nach dem offiziellen Verkaufsstart des Betriebssystems, das besonders sicher sein sollte, am Donnerstag offiziell vor zwei Sicherheitslücken gewarnt. Diese werden im Security Bulletin MS01-059 als "kritisch" eingestuft und alle Benutzer von Windows XP dringend aufgefordert, das zugehörige Patch zu installieren.
Gravierende Sicherheitslücken in Windows XPNIPC vorsichtiger als Microsoft
Die beiden XP-Lücken sollen es Angreifern ermöglichen, die komplette Kontrolle über einen Rechner zu übernehmen bzw. diesen für eine DoS-Attacke zu missbrauchen.
Das FBI-dominierte National Infrastructure Protection Center [NIPC] fordert XP-User auf seiner Site allerdings nicht nur auf, das Microsoft-Patch zu installieren, sondern zusätzlich eine betroffene Funktion [UPnP Universal Plug and Play] zu deaktivieren.
Microsoft hält diesen Schritt für überflüssig. Dass das NIPC jetzt den XP-Anwendern trotzdem dazu rät, wirft zumindestens ein merkwürdiges Licht auf die Aussage, dass eine NIPC-Microsoft-Telefonkonfrenz zum Thema "extrem ehrlich und offen" geführt worden sei.
Ebenfalls als nicht "extrem offen" dürfte die Tatsache zu bewerten sein, dass Microsoft sich weigerte, über die Zahl der Nutzer Auskunft zu erteilen, die das Patch zu den Lücken bislang heruntergeladen haben.
Die US-Regierung befürchtet insbesondere über Weihnachtsfeiertage DoS-Attacken, die sich die XP-Lücken zu Nutze machen.
National Infrastructure Protection CenterDer lachende Dritte
Bill Gates ewiger Erzrivale, der Oracle-Chef Larry Ellison, kann sich unterdessen über die Aufmerksamkeit, die die XP-Lücken auf sich ziehen, freuen, denn im medialen Windschatten ging bislang eine herbe Schlappe für Ellison ziemlich lautlos unter.
Dabei weist die Sicherheitslücke in Oracles 9i Application Server jede Menge Parallelen zu dem XP-Debakel Microsofts auf:
Die Oracle-Software wurde genau wie Windows XP als besonders sicher beworben, das entdeckte Problem entsteht ebenfalls durch einen Buffer Overflow und erlaubt es Angreifern ebenfalls einen betroffenen Rechner für DoS-Attacken zu missbrauchen.
Oracle hatte allerdings das Glück, dass ihre Software kein Konsumentenprodukt ist und so Windows XP am Freitag den gesamten öffentlichen Spott über sich ergehen lassen musste.
Oracle hat inzwischen ein Patch angekündigt. Noch vor kurzem hat Ellison übrigens lauthals über Microsoft geschimpft und seine eigene Software als "unknackbar sicher" gepriesen:
"MS Exchange wie ein Schweizer Käse"