Secunia PSI moniert XP

15/04/2014 - 23:04 von Christoph Schneegans | Report spam
Hallo allerseits!

Ich habe mich ja bislang immer bemüht, im Secunia Personal Software
Inspector (PSI) die 100%-Plakette zu bekommen. Das wird nun aber
schwierig, wenn das Betriebssystem selbst als "End-of-Life" eingestuft
wird, wie man in <http://schneegans.de/temp/psi-xp.png> sieht.

Der rot markierte Link verweist übrigens auf
<http://secunia.com/advisories/57642/>, wo man folgendes liest: "Stefan
Kanthak has reported a vulnerability in Microsoft Windows, which can be
exploited by malicious people to bypass certain security restrictions."
In <news:53446df7$0$6712$9b4e6d93@newsspool2.arcor-online.net> hatte
Stefan ja schon in darauf hingewiesen.

Ich weiß allerdings nicht, warum mir dieser Link angezeigt wird, denn
KB2922229 ist auf dem System installiert. Auch ist mir unklar, warum PSI
ein "Threat Rating" von 2/5 vergibt. Bislang dürfte es ja wohl noch keine
bekannten Exploits für XP geben.

Für den IIS 5.x, den ich seit Jahren nicht mehr gestartet habe, schlàgt
mir PSI übrigens ein Update auf 6.x vor. Das wird aber ein Fehler sein,
AFAICT làuft IIS 6.x nicht unter XP.

<http://schneegans.de/computer/safer/> · SAFER mit Windows
 

Lesen sie die antworten

#1 Stefan Kanthak
16/04/2014 - 00:18 | Warnen spam
"Christoph Schneegans" schrieb:

Hallo allerseits!

Ich habe mich ja bislang immer bemüht, im Secunia Personal Software
Inspector (PSI) die 100%-Plakette zu bekommen.



Das ist allerdings "Augenwischerei".
Alternativ: "a fool with a tool is still a fool".-P

PSI stuft beispielsweise Mozilla Thunderbird nicht als verwundbar ein,
obwohl der mit einer veralteten MSVC-Entwicklungsumgebung produziert
und mit veralteten (dummerweise anwendungslokal installierten)
MSVC[PR]100.DLL ausgeliefert wird und damit die mit MS11-025 gestopfte
Sicherheitsluecke noch hat.

Willst Du weitere Beispiele solcher (Windows-typischer) Schlamperei von
Entwicklern?

Secunia reagiert dummerweise erst, wenn der Entwickler den Bug "zugibt"
oder ihn gestopft hat.

Das wird nun aber
schwierig, wenn das Betriebssystem selbst als "End-of-Life" eingestuft
wird, wie man in <http://schneegans.de/temp/psi-xp.png> sieht.



[ <http://secunia.com/advisories/57642/> ]

Siehe oben: Secunias Einstufung ist zweifelhaft!

Ich weiß allerdings nicht, warum mir dieser Link angezeigt wird, denn
KB2922229 ist auf dem System installiert. Auch ist mir unklar, warum PSI
ein "Threat Rating" von 2/5 vergibt. Bislang dürfte es ja wohl noch keine
bekannten Exploits für XP geben.



Ich koennte Dir einige Luecken zeigen. Die meisten sind auch in NT4, Vista,
2008, Sieben oder Windows 8.1 enthalten und dort genauso ausnutzbar.-P
Siehe <http://home.arcor.de/skanthak/downl...IT.INF>
Auf einem englischen Windows (also jeder eNTe 6.x) kommen dank des
Leerzeichens in %ProgramFiles% noch viiiiiele wunderschoene Luecken bis
hin zur "privilege escalation" dazu.
Siehe beispielsweise <http://seclists.org/fulldisclosure/2013/May/14>

Für den IIS 5.x, den ich seit Jahren nicht mehr gestartet habe, schlàgt
mir PSI übrigens ein Update auf 6.x vor. Das wird aber ein Fehler sein,
AFAICT làuft IIS 6.x nicht unter XP.



Der mit XP gelieferte IIS ist 6.0!
Sieh Dir die Version der IIS.DLL an.

Stefan
[
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)

Ähnliche fragen