a074b01b79207eaec03dbad343997c6c ist ein MD5-Hash von irgendwas, was ich weiß und vielleicht oder vielleicht auch nicht oder so eventuell mal hier oder woanders posten werde. Ich will aber jetzt schon mal festhalten, dass ich das, was ich noch poste, jetzt schon weiß, damit jeder weiß, dass ich das als erstes gefunden habe, aber nur nicht veröffentlicht habe oder schon oder woanders oder was weiß ich denn.
Dieses lustige MD5-Hash posten scheint der neueste Trend in der Veröffentlichung von Sicherheitslücken zu werden. Halvar Flake, Didier Stevens und Kai Hampelmann, alle veröffentlichen MD5-Hashes die keinen interessieren um irgendwann mal behaupten zu können: „Ich hab’s gewusst!“.
Im Prinzip ist mir das ja egal. Entweder man macht Full Disclosure, d.h. man veröffentlicht alle Details einer Sicherheitslücke oder nicht. Wenn nicht, dann sagt man nur dem Hersteller wo das Problem ist und wartet halt ein halbes Jahr oder länger auf die Patches. Microsoft und Oracle sind da so Spezialisten. Solange eine Lücke nicht öffentlich bekannt ist, passiert erst einmal gar nichts oder sehr wenig und ein Patch dauert dann halt gerne mal 300 Tage oder gerne auch mal länger. Die Advisories von eEye können da ein Lied von singen. Stand heute, 19.05.2007: EEYEB-20061024, Vendor Microsoft, Days sind initial report: 208!
Das Problem mit den MD5-Hashes ist nur, dass sich die Typen dann hinstellen und hinterher behaupten, sie hätten ja schon früh was veröffentlicht und sei es nur der MD5-Hash gewesen. Eine nette Pervertierung von Full Disclosure. Ich denke, die MD5-Poster sollte man am besten gar nicht mehr ernst nehmen.
Ach ja, und wer herauskriegt, was hinter dem obigen Hash steckt, bekommt ein Bier von mir 🙂