Ich bin heute durch Zufall bei Hoffman Labs ueber einen Pointer auf eine - wohl auch exploitbare - Sicherheitsluecke in VMS gestolpert, die auf der DEFCON 16 vorgestellt wurde.
Was ist hieran nun interessant? Zum einen sicherlich die Kombination aus dem Anspruch, besonders sicher zu sein und der doch recht langen Verweildauer des Bugs in VMS - auf comp.os.vms wird davon berichtet, dass VMS 5.5 von 1992 betroffen ist, 4.7 von 1987 allerdings nicht. Zum anderen ist verwunderlich, dass die Entdecker des Bugs angeben, kaum VMS-Erfahrung zu besitzen und den Bug trotzdem relativ schnell gefunden haben.
Dass bei VMS - gerade und insbesondere in letzter Zeit - eine ganze Menge schief gelaufen ist, laesst sich wohl nicht verleugnen. Dass sich nun aber ein Buffer Overflow in einem davon angeblich nicht anfaelligen Betriebssystem ueber so lange Zeit haelt, ohne entdeckt zu werden, ist schon verwunderlich. Besondere Brisanz erhaelt der Fall, da sich dieser Bug auch zur privilege elevation ausnutzen laesst — etwas, das unter VMS eigentlich auch schwieriger gehen soll als unter - sagen wir - Unixoiden.
Mal schauen, welchen Effekt dieser Bug in der Wahrnehmung der Oeffentlichkeit hat. Immerhin laufen ja doch noch einige nicht unbedingt unwichtigen Systeme unter VMS.