Heute wurde ich auf den Chief Security Advisor Blog aufmerksam. Er wird von Michael Kranawetter – er ist Chief Security Advisor bei Microsoft – betrieben. Ich finde die Idee gut, kann den Widerspruch aber nicht auflösen. Einerseits schreibt er nämlich wie wichtig Microsoft die Kommunikation von Sicherheitsproblemen ist. Und deswegen schreibt er im ersten Posting: "Dieser Aufgabe will Microsoft Deutschland unter anderem mit diesem Blog nachkommen."
Aber weiter unten kommt dann ein Disclaimer: "Bitte beachten Sie, dass die Beiträge in meinem Blog keine offiziellen Stellungnahmen der Microsoft Deutschland GmbH oder Microsoft Corporation darstellen."
Ich lese das so: Microsoft Deutschland will informieren, aber nicht, dass man denkt das wären offizielle Infos von Microsoft. Hm: Wasch mich, aber mach mich nicht nass?
Im Artikel "Informationen zur DLL-Schwachstelle" wird der Sachverhalt so weit korrekt dargestellt. Und leider wird es auch so dargestellt, als sei das ein reines Anwendungsproblem, Microsoft könne nichts dafür und habe ja schon vor zwei Jahren in irgendeinem Blog darauf hingewiesen (vermutlich auch wieder einer, der keine offiziellen Infos enthält?). Tatsächlich ist es aber Windows, der die DLLs im falschen Verzeichnis bzw. besser in der falschen Reihenfolge die potentiell in Frage kommenden Verzeichnisse durchsucht. Und das vermutlich schon so lange es Windows gibt. Was mir gefällt ist, dass hier endlich auch einmal von Seiten Microsoft darauf hingewiesen wird, dass es nicht nur um DLL-, sondern auch um Exe-Hijacking geht. Leider nur in einem nicht-offiziellen Blog… 😉
Die anderen Artikel sind die in den letzten Wochen üblichen Themen, Stuxnet wird aber nur am Rande erwähnt und tiefergehende Infos zu den Security-Bulletins könnten auch durchaus gerne noch nachgelegt werden. Ich will mal abwarten, wie sich die weiteren Infos so entwickeln. Potentiell ist Potenzial da… 🙂