Entwickler bestreitet Sicherheitsloch in Visual C++.NET

Microsoft wehrt sich gegen Berichte, nach denen die neueste Version seines C++-Compilers anfällig gegen Buffer-Overflow-Attacken ist. Die Firma Cigital hatte erklärt, ein neues Feature in Visual C++.NET, das eigentlich vor derartigen Angriffen schützen soll, führe stattdessen ein neues Sicherheitsloch ein.

In der jetzt veröffentlichten Erklärung widerspricht Microsoft vor allem der von Cigital inkorrekt zitierten Aussage, Buffer Security Checking böte absolute Sicherheit vor solchen Angriffen und ersetze saubere Programmierung. Vielmehr sei dieses Feature nur ein Mittel gegen die am häufigsten auftretende Form von Buffer-Overruns und ersetze nicht die Sorgfalt des Entwicklers. Es führe keine neue Sicherheitslücke ein, sondern ermögliche Angreifern allenfalls, auf eine neue und kompliziertere Weise in Programme einzudringen, die sowieso schon gegen Buffer-Overflow-Attacken anfällig seien. In einem Posting bei SecurityFocus schreibt Brandon Bray, einer der Entwickler des Visual-C++-Compilers, das einzige, was er sich vorzuwerfen habe, sei in der Programmdokumentation genau beschrieben zu haben, gegen welche Arten von Angriffen dieses Feature schütze, aber nicht, gegen welche es machtlos sei. (hos)