Lücke durch .NET-Kompiler? MS widerspricht

Das auf Software Risk Management (SRM) spezialisierte Unternehmen Cigital will einen Designfehler in den Compilern von Visual C++ .NET und Visual C++Version 7 gefunden haben. Die daraus resultierende Sicherheitslücke soll einen Buffer Overflow im mit den Compilern erzeugten Code ermöglichen.

In den Cigital Labs habe man herausgefunden, dass ausgerechnet ein neues Feature der Compiler anfällig ist, das kritischen Code eigentlich vor Buffer Overflows schützen soll. Laut Cigital erreichen Entwickler, die das Feature einsetzen, um ihren Code automatisch vor ungeprüften Puffern zu schützen, schlimmstenfalls das Gegenteil.

Microsoft-Entwickler Brandon Bray hat sich inzwischen in den Mailinglisten von Bugtraq ausführlich zu Wort gemeldet und widerspricht: Bei der Programmierung eines solchen Features könne man nicht alle Möglichkeiten für einen Buffer Overflow ausschalten. Damit endet aber auch das Zugeständnis von Bray, es handle sich definitiv nicht um einen Fehler im Sicherheitsfeature (/GS Switch) selbst.

Als Unternehmen, das demnächst neue Sicherheitsprodukte auf den Markt bringt, bei deren Entwicklung die Lücke entdeckt worden sein soll, ist Cigital nicht ganz vom Eigennutz freizusprechen. Dahingehend mag man auch die Empfehlung von Jeffery Payne, CEO von Cigital, interpretieren, der empfiehlt, die Entwicklung von Code mit Training, Software-Tools und Consulting zu begleiten, was das Kerngeschäft seines Unternehmens darstellt. (uba)