Bug-Report in MS-Produkten versendet vertrauliche Daten
Die Microsoft-Produkte Windows XP, Office XP und der Internet Explorer ab der Version 5 enthalten eine Möglichkeit, im Falle eines Programmfehlers einen Bug-Report an Microsoft zu senden. Damit sollen Programmfehler in künftigen Versionen mit Hilfe des Endanwenders behoben werde. Da dabei auch ein Speicherauszug versendet wird, der vertrauliche Dokumente oder Teile davon enthalten kann, gelangen so vertrauliche Daten in die Microsoft-Zentrale.
Laut dem CIAC seien bei einem Drittel der an Microsoft versendeten Fehlerberichte vertrauliche Daten übermittelt worden. Dennoch wird das Sicherheitsrisiko nur als mittelschwer eingestuft, weil vor einer Datenübermittlung um Einverständnis des Anwenders gebeten wird. Allerdings wird kritisiert, dass der entsprechende Dialog nicht darüber informiert, dass vertrauliche Daten übertragen werden könnten.
Gegenüber ZDNet.com(öffnet im neuen Fenster) erklärte Microsoft, dass man das Versenden von Fehlerberichten global ausschalten könne, um eine vertrauliche Datenübermittlung zu verhindern. Außerdem verspricht Microsoft, dass solche Daten nicht im Unternehmen verwendet würden. Um der ungewollten Datenübertragung entgegenzuwirken, erläutert das CIAC in einem Security Bulletin(öffnet im neuen Fenster) ausführlich, wie man das Versenden von Fehlerberichten mit passenden Änderungen an der Registry verhindert.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.