News Patchday September 2015: Microsoft stopft 55 Sicherheitslücken in 12 Bulletins

Alexander Opel schrieb:
Patchday September 2015: Microsoft stopft 55 Sicherheitslücken in 12 Bulletins
55 Sicherheitslücken im September - das muss man sich nur auf der Zunge zergehen lassen!
Und das SEIT JAHREN!

So verdammt dämlich kann doch nun wirklich kein Mensch sein! - Kann nur eine Verarsche sein ...
 
In ein paar hundert Millionen (oder eher Milliarden) Zeilen Code können auch problemlos ein paar mehr Fehler sein.
 
Autokiller677 schrieb:
In ein paar hundert Millionen (oder eher Milliarden) Zeilen Code können auch problemlos ein paar mehr Fehler sein.

Wird "BoundsChecker" nicht mehr benutzt?
Falls doch, warum sind dann immer noch Pufferüberläufe möglich?

Warum werden immer noch nicht sämtliche Parameter einer jeden Funktion auf Plausibilität und Konsistenz überprüft?
Würde man diese simple Regel einfach mal konsequent einhalten, dann gäbe es keine Pufferüberläufe und damit auch keine Exploits mehr.
 
Klar kann man alles gegentesten und x-fach überprüfen. Nur ob man dafür die Zeit (und damit Kosten) aufwenden kann, ist die Frage.
 
Bolko schrieb:
Wird "BoundsChecker" nicht mehr benutzt?
Falls doch, warum sind dann immer noch Pufferüberläufe möglich?

Warum werden immer noch nicht sämtliche Parameter einer jeden Funktion auf Plausibilität und Konsistenz überprüft?
Würde man diese simple Regel einfach mal konsequent einhalten, dann gäbe es keine Pufferüberläufe und damit auch keine Exploits mehr.
Weil man noch vor der nächsten Eiszeit einen Release hinbekommen will?
BoundsChecker ginge vielleicht noch, wobei ich nicht weiß, ob das bei so extrem großen Projekten noch halbwegs automatisch läuft oder auch massiv Handarbeit benötigt. Und alle Funktionen nochmal komplett durchgehen und nachvollziehen ist halt vom Zeit- und Personalaufwand unwirtschaftlich.
 
Schuld sind eindeutig die Programmiersprachen wie C und C++.
Den Programmierern ist keine all zu große Schuld zu geben, Menschen sind halt faul, ist ja bekannt.
Er arbeitet nur genau, wenn er nicht anders kann.
Zudem erlaubt man ihnen sich auf die Phrase "es gibt keine 100%ige Sicherheit" zu berufen.
 
Zuletzt bearbeitet:
Bolko schrieb:
Wird "BoundsChecker" nicht mehr benutzt?
Falls doch, warum sind dann immer noch Pufferüberläufe möglich?
Ich hab BoundsChecker noch nie benutzt, aber meines Wissens ist das doch ein dynamischer checker (wie valgrind). D.h. um einen Fehler zu finden muss man erstmal einen Test (also in diesem Fall eine Hack) schreiben, bei dem dieser Fehler auch auftritt.
 
Zuletzt bearbeitet:
Win.7: 11 wichtige Updates installiert (alle angebotenen), nach Durchsicht der "weiteren Informationen" ohne "Schnüffelverbesserungen", das optionale UPD. weggelassen, Datenträgerbereinigung, inzwischen 5 x Neustart:
Keine Probleme, Keine Win.10 Werbung etc, alles gut...:)
 
engine schrieb:
Schuld sind eindeutig die Programmiersprachen wie C und C++.
Den Programmierern ist keine all zu große Schuld zu geben, Menschen sind halt faul, ist ja bekannt.
Er arbeitet nur genau, wenn er nicht anders kann.
Zudem erlaubt man ihnen sich auf die Phrase "es gibt keine 100%ige Sicherheit" zu berufen.

Bei der Komplexität der heute eingesetzten Software mit diversen API, Frameworks und abhängigkeiten ist es kein Wunder wenn ständig Fehler auftreten.

Ein Entwickler von Java hat mal gesagt das man jedes Programm um mindestens eine Zeile Code bereinigen kann ohne seine Funktionalität zu beeinflussen. Gleichzeitig steckt auch in jedem Programm mindestens eine Zeile mit Code der zu Fehlern führen kann.

Moon_Knight schrieb:
Klar kann man alles gegentesten und x-fach überprüfen. Nur ob man dafür die Zeit (und damit Kosten) aufwenden kann, ist die Frage.

Zeit ist ein nicht unerheblicher Faktor. Termine wollen eingehalten werden. Die Leute die den Code schreiben arbeiten insbesondere bei amerikanischen Firmen kurz vor Release die Nächte durch. Das sich unter dieser Belastung gerne Bugs und Sicherheitslücken einschleichen sollte jedem klar sein.
 
Zurück
Oben