"Microsoft: két éves reagálás egy kritikus 0day-re"

Bug

A napokban fény derült arra, hogy a Microsoft már több mint két éve tudott arról az Office Web Components-ben (OWC) levő kritikus biztonsági hibáról, amelyen a legutóbbi patch kedden javított. A vállalat csak azután kezdte csipkedni magát a javítás elkészítésére, miután tudomására jutott, hogy a hibát aktívan kihasználják.

A Zero Day Initiative (ZDI) 2007 márciusában jelezte a Microsoft-nak a Peter Vreugdenhil által felfedezett sebezhetőséget, amelyet a rosszindulatú támadó sikeresen kihasználva felhasználhat kódinjektálásra és -végrehajtásra. Hosszú időn keresztül semmi sem történt annak érdekében, hogy a vállalat megvédje a hibából adódó károktól az ügyfeleit.

A napokban kiadott hibajegyében a ZDI megerősítette, hogy a redmondi cég már két éve tudott a hiba létezéséről.

A szoftveróriás csak azután kezdett neki a probléma megoldásának, hogy egyértelműen világossá vált, aktívan kihasználják az interneten a sebezhetőséget arra, hogy rosszindulatú kódokat futtassanak az áldozatok számítógépein.

Gyorsan figyelmeztetőt adott ki, majd bejelentette, hogy nekiáll a javítás elkészítésének. Ezután kevesebb mint egy hónap alatt elkészült a fix, amelyet a szokásos patch kedd keretén belül kiadott a MS09-043 képében.

A H Security szerint a redmondi vállalat válasza arra a kérdésre, hogy miért tartott ilyen sokáig a reagálás, egy "no comment", azaz a "Minden sebezhetőség ... más és más", a "Minőségellenőrzési folyamat hosszúra nyúlhat", a "bizonyos körülmények közt, az ideálisnál hosszabb lehet" közhelyek voltak.

A részletek itt olvashatók.

( Sulc v | 2009. 08. 16., v – 10:58 )

ezért kell eladni az exploit, és akkor még több pénzed is lesz, és a microsoft is gyorsabban javitja :)

( tombenko v | 2009. 08. 16., v – 11:09 )

Ezt terjeszteni fogom!
--
Fight / For The Freedom / Fighting With Steel

( uid_17626 | 2009. 08. 16., v – 11:58 )

Bele sem merek gondolni, hogy hány hasonló hiba lehet benne amiről már tudnak, hiszen azt nem hihetjük, hogy fejlesztők két évig semmit sem csináltak.

ezért priorizálni kénytelenek.

jaj szegények, mindjárt sírni fogok, és megyek a zsepiért. ;-)

Tőled azért szvsz elvárható lenne ilyenkor is előadni a szokásos - egyébként gyakorta jogos - műsorodat, hogy a gonosz/lusta/szabadon választott egyéb becsmérlő jelző/ fejlesztő gyakran szarik a biztonsági hibákra amíg nincs körülötte hírverés. ;-)

a már nem fejlesztett szoftvereiket érinti

Ha már szóba kerültek a fejlesztett szoftverek, mikor tudomást szereztek a hibáról 2007 ben, melyek voltak az érintett szoftverek közül azok, melyekre akkor volt hogy is hívják..hmmm...szupport vagy mi... ;-) ?

----------------

20:45 < Mizu> amiota ubuntu van azota csinalja
20:45 < Mizu> debian alatt nem csinalta
20:45 < Mizu> ott mukodott faszan

hogy az erőforrásaik feltehetőleg nekik is végesek

Ez mióta is érdekel téged ?? ;-) megint könnyezni fogok.

az érintett szoftver komponens pedig már egy ideje obsolete.

Ismét kérdés. Support volt még rá 2007ben? Amikor ugye a hibát bejelentették.

----------------------

20:45 < Mizu> amiota ubuntu van azota csinalja
20:45 < Mizu> debian alatt nem csinalta
20:45 < Mizu> ott mukodott faszan

Oke, akkor kerdes: ha van ra support - tehat fejlesztett szoftvernek minosul -, akkor hogy alakul a te reagalasod a szal elejen? Hogy is van ez a priorizalos dolog?
Ahh, ugyse fogsz a kerdesekre valaszolgatni...
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

úgy ahogy a szál elején írtam, meglepő módon...

2006. november: megjelenik az Office 2007
2007. március: bejelentik ezt a security hibát, ami az Office 2003-at érinti és a régebbi verziókat
2007. március: a MS elfogadja a hibát és mivel az Office 2007-et nem érinti, csak a régebbi verziókat, ráadásul nem "publikus" a hiba, ezért beteszi a bugfix queue-ba a többi hiba közé, hogy majd ha lesz rá kapacitás, akkor javítják
2009. augusztus: egész eddig nem képesek javítani a problémát a régi Office verziókban és már a ZDI-nek se hoz több lóvét, ráadásul az NSA is már béna módon használta ki úgy, hogy kiderüljön, ezért beszólnak MS-nak és publikálják a hibát

HTH ;)

Hat tudod, ha a supportalt termek azt jelenti, hogy siman tele lehet _ilyen_ ismert secu problemakkal, azzal a vilaggal nagy gondok vannak. Csak orulok annak, hogy nincs permanens szuksegem az Office termekekre, viszont sajnalom azokat, akik ezzel a bughalommal kenytelenek dolgozni.

Es az az igazsag, hogy nem is az a szomoru a dologban, hogy egy secu problema 2 evig tud ismert es ismeretlen lenni egyszerre, hanem hogy nincs olyan szabaly/felugyeleti szerv/tudomisen micsoda, ami egy ilyen ismert termek eseteben szabalyozna, hogy mennyi idon belul kell kijavitani egy ilyen exploitot.

Az mar csak ugy siman vicces, hogy a bug meg 2 ev alatt sem ert le a bugfix queue aljara.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Hat tudod, ha a supportalt termek azt jelenti, hogy siman tele lehet _ilyen_ ismert secu problemakkal, azzal a vilaggal nagy gondok vannak.

Pedig ennél sokkal rosszabb a helyzet... ;)

Van egy Ben Nagy nevű, gyanúsan magyar származású figura, aki nem rég azzal foglalkozott COSEINC-nél, hogy 5 db klaszterbe kötött quad Xeon szerverrel végzett automatikus programozási hiba felderítést úgy, hogy folyamatosan fuzzolta a Word 2007-et. ESXi-n futó 72 virtuális gép napi 1.7 millió próbát tett, azaz másodpercenként 20-at és ennek 10%-a crash-t okozott. Ekkora mennyiségű hiba felderítésénél automatikussá kellett tenni annak eldöntését is, hogy a felfedezett hiba security szempontból releváns-e. Ehhez az MS !exploitable nevű crash analizáló eszközét használta és el lehet képzelni, hogy csak ezzel a módszerrel hány biztonsági hibára derült fény.

Másodpercenként 2 hiba, aminek valamekkora része biztonsági hiba. Amikor ennyi bug report ömlik be a Microsofthoz csak egy adott termékkel kapcsolatban, amely ráadásul az adott termékcsalád jelenlegi zászlóshajója (Word 2007), akkor ellehet képzelni, hogy mennyire számít fontosnak náluk egy régebbi verziókat (Office XP - 2003) érintő sebezhetőség.

Lehet álmodozni persze, hogy más gyártók termékei jobbak és azokban nincs ennyi biztonsági hiba, de amíg azokat is emberek fejlesztik, addig ez csak naív vágyakozás és rajongás.

Lehet álmodozni persze, hogy más gyártók termékei jobbak és azokban nincs ennyi biztonsági hiba, de amíg azokat is emberek fejlesztik, addig ez csak naív vágyakozás és rajongás.

Mondjuk azok nem mindegyik kerül x db 20.E forintosba.

Amikor ennyi bug report ömlik be a Microsofthoz csak egy adott termékkel kapcsolatban

Akkor nagyjából ennyit az IT SW it sw-iparról úgy általában. ;-)

Ha az autószerelők Autószerelők ilyen munkát végeznének... ;-)
...másodpercenként 2 kocsi törne darabokra. :-))
-------------------

20:45 < Mizu> amiota ubuntu van azota csinalja
20:45 < Mizu> debian alatt nem csinalta
20:45 < Mizu> ott mukodott faszan

folyamatosan fuzzolta a Word 2007-et. ESXi-n futó 72 virtuális gép napi 1.7 millió próbát tett, azaz másodpercenként 20-at és ennek 10%-a crash-t okozott.

szoftverösszeomlás<-> autó darabokra törése, hmm... :-)

Lehet pl. motor lefulladás jobb hasonlat lett volna ez esetben ;-)

lehet demagogiát kiáltogatni, de a szoftveripar azért a fogyasztóval szemben borzasztóan sokat megenged magának más iparágakkal szemben.

---------------------

20:45 < Mizu> amiota ubuntu van azota csinalja
20:45 < Mizu> debian alatt nem csinalta
20:45 < Mizu> ott mukodott faszan

Kedves Hunger!

Megadom az esélyt arra hogy visszavond a következő hozzászólásodat baromi sürgősen, ezért nem ott írom be hogy válasz erre.

Úgy látom újabban nem csak a humorodat vesztetted el, de a gerincesek fajából is kiiratkoztál. És ezen nem változtat a mondat végén a szmájli sem.

Ha van bizonyítékod arra, hogy "sztrájkoló vasutas vagyok minden évben", akkor add elő, / egyáltalán mikor sztrájkoltam nap-óra-perc / ellenkező esetben viszont sürgősen töröld a hsz edet, és ne terjessz rólam abszolút offtopic módon, gerinctelenül baromságokat.

Kösz.

De van egy olyan sanda gyanúm, hogy a hozzászólásod módosítása reménytelen kérés az ehhez szükséges gerincedet már elvesztetted.

U.I.: Ez itt nem az irc...

U.I 2: IRL információk kiszivárogtatásáért jobb helyeken permanent ban jár.

------------

20:45 < Mizu> amiota ubuntu van azota csinalja
20:45 < Mizu> debian alatt nem csinalta
20:45 < Mizu> ott mukodott faszan

másrészt viszont szomorúan konstatálom, hogy nem vállaltál szolidaritást a munktársaiddal

A helyzet ennél sokkal bonyolultabb a speciális munkakörülmények miatt, de ennek megvitatása nem tartozik a széles nyilvánosság elé.

szerk:

annyi még talán belefér, hogy túlnyomórészt külföldön végzem a munkavégzésemet - az említett speciális körülmények -, tehát ott kelle(tt volna) a "szolidaritási sztrájkot" vállalni :-)

szerk vége.

Most ezt vagy elhiszed nekem, vagy úgy gondolod hogy mindössze "nem volt vér a pucámba" a "szolidaritási sztrájkhoz".

Harmadrészt úgy gondolom, hogy az elmúlt években a sztrájk célkitűzéseinek szerintem gyakorta inkább volt politikai célja, mint munkavállalói érdekvédelem.

Egészségetelenül keverték a kettőt. Volt ebből is egy kicsi, meg abból is egy nagy...

De ez itt már rohadtul offtopic :-)))

---------------------

20:45 < Mizu> amiota ubuntu van azota csinalja
20:45 < Mizu> debian alatt nem csinalta
20:45 < Mizu> ott mukodott faszan

Nem volt benne semmi szégyellnivaló, meg itt úgyis ismer mindenki mindenkit,

Ez nem az irc, másrészről itt nemcsak rólunk van szó akik írkálunk huppogunk. Ezt bárki olvashatja.

Teljesen egyetértek vissza is vonnám ezt a szálat mivel Hunger végül moderálta magát, de mivel snq hozzászólt ezt csak trey tudja megtenni. :-)

Ha már hozzászóltak a hsz később user szinten nem szerkezthető.

--------------------------

20:45 < Mizu> amiota ubuntu van azota csinalja
20:45 < Mizu> debian alatt nem csinalta
20:45 < Mizu> ott mukodott faszan

és miért nem törekedtek arra, hogy a programjuk napi 10 új feature ötlete helyett (ebből napi 1-et se használnak ki a felhasználók) egy szoftverük, ami vastag pénzbe került termék, legalább konvergáljon a minőségihez. pl. akár úgy is, hogy a lázálomként megjelenő új ötletek elől vegyék el a prioritást annak érdekében, hogy egy hibát (megvásárolt termék hibás működése nem legyintés kategória, csak a szoftveriparban) javítsanak, ami ráadásul eladhatóan visszaélésekre vezet?

nyilván prioritási listájuk van, de valamiért mégis az eladhatóság az egyetlen szempont (vedd meg, mert a régit már leszarjuk és különben is kompatibi problémáid lesznek). értem, hogy vállalkozás, viszont fizettek a termékükért. ezt se ártana szem előtt tartani. megteszik?

--
xterm

(ebből napi 1-et se használnak ki a felhasználók)

Ezt én nem tudom, neked van erre valamilyen statisztikád?

ami vastag pénzbe került termék, legalább konvergáljon a minőségihez

Tudsz mondani egy hasonló funkciókkal bíró azonos terméket, amely "minőségi" (akár olyat, amely szintén vastag pénzbe kerül, de nincsenek benne biztonsági hibák)?

ráadásul eladhatóan visszaélésekre vezet?

Vista óta (mióta van ASLR Windowsban) már nem túl egyszerű azon kliens-oldali hibák kihasználása, amelyek file formátum feldolgozási problémán alapulnak. Nem véletlenül sütötték el a kínai haxorok 3 éve - a Vista megjelenése után - nagy számban az ilyen jellegű MSOffice 0dayeket, mert látták, hogy a Vista elterjedésével ezen exploitjaik értéktelenné válnak.

Úgyhogy nagy visszaélésekhez ezek a fajta bugok nem vezethetnek és gyanítom a COSEINC is azért foglalkozott még ezzel, mert az MS ilyen oldalról is szeretné bezárni a lehetséges problémákat.

új ötletek elől vegyék el a prioritást annak érdekében, hogy egy hibát (megvásárolt termék hibás működése nem legyintés kategória, csak a szoftveriparban) javítsanak
[...]
nyilván prioritási listájuk van, de valamiért mégis az eladhatóság az egyetlen szempont

Nem ez az egyetlen szempont, azért ez túlzás. De egyértelmű, hogy ez egy elég nagy dilemma, mert a látható új ötleteket könyebb eladni, mint a nem látható security újításokat, biztonsági javításokat (tudsz bárkit is, aki az ASLR miatt vette meg a Vistát?). Az MS meg az eladásokból él, úgyhogy muszáj látható újdonságokat is fejlesztenie, mert az emberek jórésze csak ezért ad ki pénzt.

Emiatt nincs túl nagy sikere a PaX-nak sem a Linux terén, mert még a fejlesztők se nagyon látják át, hogy mennyi security probléma ellen nyújt hatékony védelmet. Keveseket érdekel ilyen szinten a biztonság. De maga a Vista is kiválló példa erre, hisz a rengeteg security megoldás ellenére sem sikerült az XP helyére lépnie (persze közrejátszottak más dolgok is, ez igaz, de azért látszódik szerintem belőle a lényeg).

Egyébként azt gondolom, hogy az MS bizony vesz el prioritást mostanában az új ötletektől (nem is kicsit) és egyre több időt és pénzt fordít a biztonságra. Tagadhatatlan tény, hogy a szoftverfejlesztő cégek közül ők fordítanak a legtöbbet mára a security-re. Dollármilliókat költenek el rá évente, de egy akkora forráskód állománynál - amellyel rendelkeznek - és ekkora fejlesztési ütem mellett csak nagyon lassan fog ez a befektetésük megtérülni...

statisztika? neked van az ellenkezőjéről? ;) gyanítom nincs. amúgy csak az jeleztem ezzel, hogy sokkal több csicsa, gui feature jelenik meg, mint ahány lik tűnik el (2 év kissé húzós, nem? vagy az érveid írásakor nem érzed furának a 2 évet?)

azt viszont sajnálom, hogy a biztonság hátrább kerülését te simán elfogadod azzal, hogy másnál mi a helyzet (kár). nekem csúnya hibának tűnik az, hogy egy programba hamarabb kerül be egy más formájú start gomb, mint hogy kijavítsanak egy olyan hibát, amit kihasználnak azért páran. tudom, hogy sok időt/pénzt fordítanak biztonságra (amúgy muti a statisztikát :D amivel alátámasztod, hogy ők fordítanak a legtöbbet rá)

a vista elterjedése azért nagyvállalati területen nem akkora, hogy ennek a megléte miatt hátradőljenek és ne javítsanak "régebbi" bugot.

--
xterm

statisztika? neked van az ellenkezőjéről? ;) gyanítom nincs

Pedig van, de elég megnézni akár egy pár száz felhasználójú Office 2003-2007 vegyes hálózatban az új verziót használó userek milyen szépen használják ki az O2k7 adta előnyöket, újdonságokat.

amúgy csak az jeleztem ezzel, hogy sokkal több csicsa, gui feature jelenik meg, mint ahány lik tűnik el

Ez csak a te szubjektív magánvéleményed, nem az igazság.

(2 év kissé húzós, nem? vagy az érveid írásakor nem érzed furának a 2 évet?)

De igen, sőt hogy ne menjek messzebbre épp ma is így éreztem a RHSA-2009:1222-02 kapcsán, hogy az RHEL5 kernelben 3 év után javítottak csak egy publikus sebezhetőséget.

azt viszont sajnálom, hogy a biztonság hátrább kerülését te simán elfogadod

Valamit félreolvashattál, én sehol nem fogadtam el ilyesmit, sőt...

egy programba hamarabb kerül be egy más formájú start gomb, mint hogy kijavítsanak egy olyan hibát

Ez csak a te szubjektív magánvéleményed, nem az igazság.

boldog ember lehetsz, hogy te _mindenről_ ismered az igazságot ;) sőt, még olyan statisztikáid is vannak, amik az én általam ismert userek körében kialakuló gyakorlatról készülnek. benfentes lehetsz :) majd hozzád fordulok, ha valamilyen kérdésben nem ismerem a választ, hiszen te arra is fogod tudni.

Ez csak a te szubjektív magánvéleményed, nem az igazság.

ez meg csak a te véleményed és nem az igazság...

--
xterm

( anr | 2009. 08. 16., v – 12:25 )

gondolom az M$ az exploit megirasaval es titkos eladasaval is penzt akart keresni :)

--
Live free, or I f'ing kill you.

( mchalls | 2009. 08. 19., sze – 12:33 )

"A vállalat csak azután kezdte csipkedni magát a javítás elkészítésére, miután tudomására jutott, hogy a hibát aktívan kihasználják"

Addig is ok hasznaltak ki... ;-)