Konkret geht es um eine am 6. Oktober vom Computer Emergency Response Team der deutschen Bundesverwaltung als hochriskant bewertete Schwachstelle, die DoS-Attacken auf betroffene Computer ermöglicht und zum Produktstart offenbar nicht gepatcht sein wird.
«Microsofts Software nimmt ihre Nutzer gefangen, sodass die auch dabei bleiben müssen, wenn das Unternehmen sie einem derartigen Sicherheitsrisiko aussetzt», sagt FSFE-Präsident Karsten Gerloff. Mit der Kritik am Bestehen der Lücke will die FSFE die Vorteile freier Software - in diesem Fall speziell Linux - unterstreichen.
Microsoft-Nachlässigkeit
Konkret ist es eine Lücke im SMB2-Protokoll (Server Message Block), die der FSFE-Attacke zugrunde liegt und das von proprietärer Software ausgehende Sicherheitsrisiko illustriere, da nur Microsoft das Problem beheben kann. «Es gibt noch keine Microsoft-Warnung vor dieser Lücke», kritisiert Gerloff im Gespräch. Die FSFE befürchtet daher, dass der Konzern seine Augen vor dieser Lücke verschliesst, um sich nicht den Windows-7-Start verderben zu lassen.
Freilich handelt es sich um kein Windows-7-spezifisches Problem. Auch Vista ist von der Lücke betroffen. Dass diese noch nicht geschlossen ist, könnte auch mit Microsofts Strategie monatlicher Massenpatches zusammenhängen - für den Oktober-Patchtag kam die Entdeckung vielleicht einfach zu knapp, wie auch Gerloff einräumt.
Von proprietärer Software geht ein Sicherheitsrisiko aus. /
Allerdings betont er, dass Microsoft User wenigstens warnen und vorerst auf den vom CERT Bund empfohlenen Workaround hinweisen sollte.
Nachlässigkeit nicht belohnen
«Kunden sollten Microsofts nachlässiges Verhalten nicht fördern, indem sie die Produkte kaufen», sagt Gerloff. Er verweist auf Linux als freie Alternative, die auch einen effektiveren Umgang mit Risiken ermöglicht.
«Da gibt es einfach eine sehr viel breitere Basis von Personen mit Zugang zum Quellcode, die sich Probleme ansehen können», betont der FSFE-Präsident. Durchschnittliche Endkunden und viele Unternehmen wären freilich auch bei Linux von der Arbeit kommerzieller Anbieter wie Canonical oder Red Hat abhängig, damit Lücken geschlossen werden. Theoretisch seien Sicherheitslücken aber viel schneller behebbar als bei proprietärer Software.
Auch Apple ein Problemfall
Dass die FSFE gerade bei Windows 7 herausstreicht, welche Sicherheitsrisiken mit proprietärer Software verbunden sein können, ist leicht erklärt. «Wir müssen auf die grösstmögliche Zielgruppe abzielen», so Gerloff. Das sind marktanteilsmässig einfach die Windows-User.
Das ebenfalls proprietäre Apple-Betriebssystem OS X sei aber keineswegs besser. Tatsächlich muss Apple sogar damit leben, dass der Sicherheits-Forscher Charlie Miller zum Start des aktuellen «Snow Leopard» gegenüber Wired betont hatte, dass OS X zumindest theoretisch unsicherer ist als Vista oder Windows 7.
