Leak: 32 TB an Windows-10-Sourcecode veröffentlicht

Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.978
windows_10_logo.jpg
Für Unternehmen wie Microsoft ist der Sourcecode der eigenen Software das wichtigste Gut – Grundstein des wichtigsten Produktes und damit essentieller Bestandteil der Entwicklung, den man keinesfalls in den Händen der Konkurrenz sehen möchte. Doch offenbar ist nun genau das passiert, denn auf BetaArchive waren ingesamt 32 TB an nicht veröffentlichten und privaten Builds von Windows 10 verfügbar. Hinzu kommen zahlreiche weitere wichtige Komponenten wie Treiber-Stacks (USB, Storage und WLAN) sowie die des Plug&Play-Systems.All dies ist Bestandteil des Shared Source Kits, welches von Microsoft einigen engen Partnern zur Verfügung gestellt wird. Darin befinden...

... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Quellcode aus dem Herz von Windows 10 geleakt? | heise online

Sensibler Code aus der Shared Source Initiative
In seiner Stellungnahme korrigiert Whyman die Aussage des Registers, die Daten umfassten 32 TByte – tatsächliche seien es 12 Abbilder mit insgesamt 1,2 GByte. Das bedeute auch, dass es sich nicht um zentralen Quelltext handle. Dafür seien die Daten insgesamt zu wenig; auch widerspräche ein derartiger Upload den Regeln von BetaArchive.
 
Autsch - da werden eine Menge Lücken drin sein, die sonst nie rausgekommen wären... Bin mal gespannt, was das für Windows- Rechner in den nächsten Monaten und Jahren für Sicherheitsfolgen hat.
 
Das eigentlich schlimme ist, das andere Seiten schon gestern ihre News richtig gestellt haben und der Fehler offenbar aufgefallen ist.

HWluxx Postet heute aber die falsch Meldung...

32 TB hört sich halt dramatischer an als 1,2 GB...
 
All Fake News
 
Fake news FTW.

Bereits Freitag war bekannt das es nicht so ist wie hier beschrieben.

Willkommen im Clickbait von vorgestern!
 
Ich weiß zwar nicht was an der News richtig ist und welche Auswirkungen es hat, aber ich hoffe dennoch dass dieser Vorfall dazu dient das BS sicherer zu machen, bezogen auf Lücken die nur nicht geschlossen werden weil sie jemand anders benötigt um in so ein System einzudringen, oder man zu bequem war alte Lücken zu schließen weil bis jetzt keiner darauf gekommen ist.
 
Autsch - da werden eine Menge Lücken drin sein, die sonst nie rausgekommen wären... Bin mal gespannt, was das für Windows- Rechner in den nächsten Monaten und Jahren für Sicherheitsfolgen hat.

Wieso "autsch"?

Die Medallie hat doch zwei Seiten. Die "Angreifer" -> das sind die, die Lücken suchen um sie entweder selbst zu nutzen oder zu verkaufen. Und die "Verteidiger" -> das sind die, die Lücken suchen um gezielt den Hersteller/Entwickler auf deren Existenz und Auswirkungen hinzuweisen.

"autsch" ist da mal gar nix... Das Prinzip funktioniert bei OpenSource übrigens auch. Ob das nun bewusst/gewollt öffentlich zugänglich oder unbewusst passiert, spielt keine Rolle. Jede Codezeile, die eingesehen werden kann, lässt sich unter diesen beiden Gesichtspunkten bewerten. Und ob da nun das KnowHow auf Seiten der Angreifer oder auf seiten der Verteidiger höher ist, darüber kann bestenfalls spekuliert werden.
 
Und ob da nun das KnowHow auf Seiten der Angreifer oder auf seiten der Verteidiger höher ist, darüber kann bestenfalls spekuliert werden.
Und ob die Motivation auf Seiten der Angreifer oder auf Seiten der Verteidiger höher ist, darüber muss man nicht großartig spekulieren.
Wer verteidigt schon die Software anderer Groß-Konzerne aus freien Stücken, damit sie noch besser wird und damit der Konzern noch mehr verdient und besser da steht?
 
Das Prinzip funktioniert bei OpenSource übrigens auch.

Richtig. Wenn normalerweise einen Patch erst mal 3 Leute absegnen und dann noch einige immer wieder drüberschauen, funktioniert das sehr gut.

Wenn man aber schon damit rechnet, dass die Lücke ja sowieso keiner bemerken wird, kommt natürlich auch ein Code raus, der darauf aufbaut, nie öffentlich gesehen zu werden. Deshalb ist es sehr wahrscheinlich, dass so viele Lücken in Windows auf einmal auftauchen, dass sie sich nicht mehr rechtzeitig schließen lassen.
Das ist das gleiche wie beim Webserver: Wenn man seine Datei einfach unter einer URL ablegt, die niemand kennt, kann sie auch niemand finden. Aber es basiert eben darauf, dass keiner dahinter kommt. Wenn nun jemand auf einem internen Weg die URL herausfindet, ist die Datei eben nicht mehr sicher.

Ich finde überhaupt nicht, dass man es vergleichen kann, wenn ein Code schon lange öffentlich zugänglich ist, langsam reift, und tröpfchenweise Bugs bekannt werden, die dann rechtzeitig behoben werden können gegenüber einem gigantischen Leak von Code, der noch nie so heftigen Belastungen durch weltweite Verfügbarkeit ausgesetzt war.
Somit ist das ein extremes "Autsch", weil Microsoft nun Lücken fixen muss, die sie vielleicht vorher schon kannten, jedoch noch nicht bearbeitet haben, weil sie noch nicht öffentlich bekannt waren, sondern nur intern.
 
Da scheint es eine ganze Menge Firmen zu geben... Das sich MS da teils wirklich "arschig" anstellt, ist ja hinlänglich bekannt. Aber darum gings ja nicht...
Und doch, theoretisch müsste man darüber ebenso spekulieren -> denn egal wie es am Ende ist, WISSEN kann man das nicht, sondern es bleiben Annahmen.

Auf der anderen Seite, es reicht ein einziger Angreifer mit entsprechendem KnowHow und alle anderen stehen im Regen. Genau so wie hunderttausende Angreifer nicht zwangsweise bedeuten, dass diese schneller die Lücken aus diesen Codeteilen finden wie Dritte, die es MS zum fixen geben.


Zu deiner Frage? Was spielt das für eine Rolle? Irgendwie läuft es hier in der Community IMMER auf irgendwelche Fanbase Scheiße hinaus... Ich finde das äußerst fragwürdig, jegliche Diskusionen darauf zu reduzieren.

- - - Updated - - -

Richtig. Wenn normalerweise einen Patch erst mal 3 Leute absegnen und dann noch einige immer wieder drüberschauen, funktioniert das sehr gut.

Was lässt dich annehmen, dass sowas bei CS nicht üblich sein soll?
Warscheinlich ist in den Gefilden von MS intern (und anderen Konzernen, die mit CS Software ihr Geld verdienen) der Prozess noch viel extremer als du es hier beschreibst...
Man merkt aber schon recht deutlich, mit Softwareentwicklung hast du nix am Hut -> und nein, Softwareentwicklung meint hier ganz sicher nicht irgend ein Shell Script für ein Ubuntu zusammen zu zimmern :wink:
Da sitzt nicht irgendwer bei MS im Keller und hämmert irgendwelche Codezeilen zusammen, die niemals nie auch nur im Ansatz angesehen geschweige denn mal geprüft werden...

Wenn man aber schon damit rechnet, dass die Lücke ja sowieso keiner bemerken wird, kommt natürlich auch ein Code raus, der darauf aufbaut, nie öffentlich gesehen zu werden. Deshalb ist es sehr wahrscheinlich, dass so viele Lücken in Windows auf einmal auftauchen, dass sie sich nicht mehr rechtzeitig schließen lassen.
Der Code der rauskommt hängt in erster Linie davon ab, was der Entwickler da veranstaltet. Das Problem dabei ist, der grad an "Fehlern" ist gleich. Denn es sind die gleichen Menschen... Einfach zu behaupten, es hänge hier an CS vs. OS ist leider völlig fernab jeglicher Realitäten. OS heist nämlich nicht, dass da Fehlerfreie Roboter werkeln, genau so wie eben Fehler über Jahre im Code sind, weil eben die "gleichen Menschen" trotz potentieller Einsicht diese nicht gesehen haben.

Das ist das gleiche wie beim Webserver: Wenn man seine Datei einfach unter einer URL ablegt, die niemand kennt, kann sie auch niemand finden. Aber es basiert eben darauf, dass keiner dahinter kommt. Wenn nun jemand auf einem internen Weg die URL herausfindet, ist die Datei eben nicht mehr sicher.

Das Beispiel ist aus meiner Sicht unpassend... Denn es spielt keine Rolle WIE es herrausgefunden wird...

Übrigens, das Argument, dass OS langsam reift und tröpfchenweise Bugs bekannt werden zieht hier auch nicht... Denn dem Angreifer fällt es bei völlig unbekanntem Code eben nicht wie Schuppen von den Augen... Die müssen sich genau so erstmal damit auseinander setzen. Wie eben oben angesprochen. Es eine KnowHow Frage. Und das KnowHow der Parteien lässt sich nicht belegen!
 
Da kannst du dir den Sarkasmus in der tat sparen.
Ein renommiertes Hardware Magazin das eine ,seit tagen bekannte Falsch Meldung postet macht alles andere als den Eindruck einer guten Informationsquelle.
Mittlerweile wurde Stillschweigend immerhin ein Update hinzugefügt. Immerhin, nach dem schon seit einer Woche klar ist das es falsch ist ...

Und das ist schlimm!
 
Zuletzt bearbeitet von einem Moderator:
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh