Microsoft: Kein Sicherheitsloch in .NET-Compilern

Die Sicherheitsfirma Cigital berichtete am Freitag, dass mit den Compilern der neuen Microsoft-Produkte Visual C++ .NET und Visual C++ Version 7 Software geschrieben werden könne, die Buffer Overflows enthalten kann, worüber ein Angreifer Kontrolle über einen fremden Rechner erlangen kann.

Diese Aussage dementiert Microsoft einerseits vehement, bestätigt aber gleichzeitig die berichtete Tatsache, dass mit dem Visual C++ .NET Compiler Programme geschrieben werden können, die einen Buffer Overrun enthalten. Microsoft weist darauf hin, dass im Visual C++ .NET Compiler als Neuerung ein "Buffer Security Checking" enthalten sei, das einige potenzielle Buffer Overruns im Vorfeld herausfiltern und eliminieren können soll, um damit geschriebene Software vor Angriffen sicherer zu machen. Allerdings weist auch Microsoft darauf hin, dass damit nicht alle Buffer Overruns eliminiert werden könnten, sondern dass auch die neuen Compiler Programmcode mit einem Buffer Overrun erzeugen könnten.

Und weil Microsoft nie behauptet habe, dass mit dem "Buffer Security Checking" alle Buffer Overruns umgangen werden könnten, wirft Redmond nun Cigital vor, die Unwahrheit zu sagen. Denn nach Microsoft-Lesart hätte es des Hinweises von Cigital gar nicht bedurft, weil ständig neue Buffer Overruns auftauchen, die von einem Compiler ohnehin nicht im Vorfeld erkannt werden könnten, weil Buffer Overruns eben Programmierfehler sind. Microsoft meint, dass kein Compiler "einen perfekten Schutz gegen alle Buffer Overruns" bieten könne.