Zur Zeit muss ich stark annehmen, dass das Windows 7, was es offiziell ab Donnerstag (den 22.10.) für Endbenutzer zu kaufen geben wird, von der Ferne aus abgeschossen werden kann, wenn ich SMB2 anhabe und an den Port rankomme.
Das BSI bewertet das Problem als "hohes" Risiko (Die 4. von 5 Stufen.): https://www.cert-bund.de/advisoryshort/CB-K09-0315%20UPDATE%201 Die haben sicher Microsoft schon Tage vor der Meldung informiert. Mit einer gewissen Wahrscheinlichkeit kann aus einem solche "Abschiessen" auch ein Ausführen von Quelltext aus der Ferne werden.
Schon vor einigen Tagen gab es starke Hinweise, dass Microsoft auch intern bekannte Lücken erstmal nicht so schnell erledigt. (Die dortgenannte Lücke ist auch in SMB2, aber eine _völlig andere_: http://www.heise.de/security/meldung/SMB2-Luecke-offenbar-schon-laenger-bei-...)
Diese beiden Ereignisse lassen vermuten, dass es kein Einzelfall, sondern eine Einstellung des Herstellers ist, der vermutlich in Kauf nimmt, dass eine solche Lücke beim Kunden aufschlägt. Das sollten die potentiellen Kunden doch wissen, bevor sie zur Packung greifen, oder?
(Hier zeigt sich auch eine allgemeine Schwäche der unfreien Software: Zu wenig Transparenz und Möglichkeiten das selbst nachzuprüfen. Natürlich ist Freie Software nicht einfach magisch sicherer.)
Die FSFE hat dazu gerade eine Pressemitteilung herausgegeben: http://fsfe.org/news/2009/news-20091019-01.de.html
Bisher haben die Medien das noch nicht größer aufgegriffen, vielleicht wird diese Art des Aussitzens von IT-Sicherheitsmeldungen - selbst bei einem neuen Produkt - auch als völlig normal begriffen. Wo ist die Stellungnahme von Microsoft zu der BSI-Meldung? Werden die Medien Windows 7 loben, oder auch gleich warnen?
Gruß, Bernhard