Daily Archives: 16. September 2009

Updates automatisch oder nicht automatisch?

Unternehmen setzen bei Sicherheits-Updates die Prioritäten falsch” (heise.de)

Unternehmen setzen offenbar beim Schließen von Sicherheitslücken in Client-PCs die Schwerpunkte falsch. Obwohl Kriminelle fast nur noch Lücken im Adobe Reader, QuickTime, Adobe Flash und Microsoft Office ausnutzen, um Windows-PCs zu infizieren, verstreicht bis zum Installieren von Sicherheits-Updates doppelt so viel Zeit wie für das Schließen von Lücken in den Betriebssystemen

Dies liegt wohl primär daran, dass das Betriebsystem automatisch, sofern man es nicht deaktiviert hat, nach Updates schaut und, wenn vorhanden, selbstständig installiert. Bei anderer Software gibt es nicht immer diesen Automatismus. Der Adobe Reader z.B. melden sich wenn es ein Update gibt, aber der Flashplayer tut keinen Mucks.

Untersuchungen zufolge erhöhen stille Updates ohne Nachfrage beim Anwender die Patchrate.

Dies mag wohl stimmen, beinhaltet aber immer die Gefahr, dass andere Software plötzlich nicht mehr funktioniert. In einem Unternehmen wäre es natürlich tödlich, wenn plötzlich die Buchhaltungssoftware nicht mehr funktioniert und es für diese keine Updates zu dem gepatchten Betriebssystem gibt.

Schnell Updates einzuspielen ist zwar wichtig, aber wenn man nicht 100% sicher ist, dass auch die andere Software weiterhin reibungslos funktioniert, so ist dies schon ein Problem. Wenn man eine gut funktionierende IT-Abteilung hat, dann prüfen die, ob ein Update zum Totalausfall führen kann. Aber was macht der Privatnutzer oder der Kleinunternehmer der keine IT-Abteilung hat? Das ist gar nicht so leicht zu beantworten. Auf jeden Fall ist es immer gut, wenn man sich vor einem Update noch einmal ein Backup zieht, da es i.d.R. keine Möglichkeit gibt ein Update rückgängig zu machen.

Manchmal ahnt man auch gar nicht welche Software voneinander abhängig ist. Es ist noch immer Software in Unternehmen im Einsatz, die den Explorer 6 voraussetzt. Wer nun das automatische Update auf den 8er Explorer durchführt, könnte plötzlich ohne seine funktionierende Asbachuralt-Software dastehen.


Dies kennt wohl jeder Benutzer des Firefox: Man will ein Update auf die gepatchte Version machen und dann mault er, dass nach dem Update verschiedene Plugins nicht mehr funktionieren werden. Ja und nun? Den Firefox updaten oder warten bis auch die geliebten Plugins ein Update erfahren haben?

Für den Firefox gibt es da einen kleinen Kunstgriff: “Nightly Tester Tools” (addons.mozilla.org)

Mit diesem Plugin kann man den Firefox dazu zwingen, auch Plugins die angeblich nicht mehr funktionieren werden, trotzdem zu nutzen. I.d.R. steckt die Inkompatibilität nur in der im Plugincode enthaltenen FF-Versionsnummer, für die das Plugin entwickelt wurde. Bisher haben noch alle Plugins, die ich mit diesem Tool nachbehandelt habe, ohne Probleme funktioniert.


Und noch etwas aus dem Artikel:

60 Prozent aller Attacken im Internet richten sich mittlerweile gegen Webserver, um etwa SQL-Injection zu finden und auszunutzen. Mehr als 80 Prozent aller Lücken in Servern entfallen auf SQL-Injection- und Cross-Site-Scripting-Lücken.

Shopping.De: Amazon-Klon Oder Mehr?” (alles2null.de)
Dort hinterließ ich am vergangenen Sonntag einen Kommentar:

Shopping.de mag zwar wie Amazon aussehen, aber was sie Sicherheit angeht ist es unvergleichlich…

In dem Shopsystem kann man reflektives und persistentes Cross-Site Scripting ausnutzen. Mit XSS kann man dann den Session-Cookie auslesen und mit dem ist es möglich sich in den Account des Opfers einzuloggen.

Einkaufen würde ich dort nicht, solange diese eklatanten Sicherheitslücken nicht geschlossen wurden.

Unister kam dann am Montag auch über den Kommentar auf mein Blog, hätte sich also evtl. auch etwas über XSS informieren können, sofern sie es nicht kennen. Bisher wurde nur eine Lücke geschlossen, aber auch nur weil dort schon jemand etwas für jeden Shopbesucher sichtbares hinterlassen hatte. Warum wurden die anderen Lücken noch nicht gefixt?

Sorry Unister, aber ich kann es einfach nicht verstehen, wie man Millionen für eine Domain ausgibt, aber dann bei der Sicherheit des Shops so versagen kann.