BetaNews a "Windows Vista exploit bukkant fel az oroszoknál"-ról

Az elmúlt napokban szárnyrakaptak az interneten olyan hírek, miszerint privilégium-szint emeléshez használható exploit bukkant fel egy orosz fórumon :), amely a Microsoft Windows oprációs rendszerek széles skáláját - beleértve a Windows Vista-t is - érinti. A BetaNews biztonsági csapat megvizsgálta a szóban forgó esetet, és kiadta állásfogalását. Ebben az olvasható, hogy az exploit nem érinti biztonsági szempontból egyik Windows verziót sem.

Legalábbis a BetaNews szerint a hiba nem ad lehetőséget a rendszerbe történő betörésre, mivel a pár soros kóddal megbolondított rendszerkomponens teljes rendszerösszeomlást - kékhalált - eredményez. A számítógép újraindítása után ugyan megsérülhetnek a biztonsági azonosítókat kezelő fájlok, ám "csak" annyi történik, hogy a normális körülmények között UAC-figyelmeztetést kiváltó műveletek egyszerűen nem indíthatók el csökkentett jogosultságú felhasználói fiókból. - állítja cikkjében a BetaNews. A hibára készül már a patch ami a következő Windows Update-ben benne is lesz.

Hozzászólások

Certainly there's a serious problem here -- one that has not been resolved in Windows Vista, despite a year-and-a-half of beta testing -- but our testing reveals no evidence of that problem fitting the standard template of a malicious user elevating his privilege and assuming control of Windows. Instead, any exploit involving this code would be limited to "nuisance code" that crashes Windows, and perhaps corrupts security files.

Egy ilyen crash-ecske után nem csak a security file-ok, hanem _bármilyen_ file megsérülhet, nem?

Nem mintha nem hinnék a BetaNews-nak (ki ez egyébként?), de azért én szokás szerint megvárnám a véleményét a dologról a vendornak (Microsoft). :)

--
trey @ gépház

Nem láttam bele semmit, az MS Word PoC .doc-tól összeomlott az OpenOffice is, tehát szintén érintett a hibában. Ennyit írtam le a cikkben. Az hogy kihasználható-e kódfuttatásra vagy sem, az más kérdés, de azt se írtam le sehol, hogy tutira kihasználható. MS Worddel ellentétben az OOo-ra egyébként se fog senki sem exploitot fejleszteni (valószínűleg még jóideig), ezért az egész így is úgy is csupán elméleti.

A cikk szánalmas megfogalmazása olyan volt, amiben azt próbáltad sugallni hogy lehet kódot futtatni. Különben nem emlegetted volna, hogy én mit mondtam, mert az egyértelműen kódfuttatásra vonatkozott, és nem hellóztán volna másoknak :) Arról már nem is beszélek, hogy a termék nevét sem tudtad leírni normálisan a címben. A terméke neve nem OpenOffice, hanem OpenOffice.org :D

--
trey @ gépház

A cikk szánalmas megfogalmazása semmit sem próbált sugallni, csak ami egyértelmű volt: OOo is érintett a hibában, ezért ismét felesleges volt hatalmas vesszőfutással végiganyázni Gatest és őseit, kiröhögni és bukásra ítélni az MS-t, valamint az OpenOfficet ajánlgatni, mint bug mentes alternatívát. A címbe való belekötés meg tényleg a lehető legnevetségesebb tőled, de ha már így történt, akkor jelezhetnéd az FSF.hu-nak is, hogy ők is mekkora lúzerek, mivel az openoffice.hu oldalon is mindenhol rosszul írják:

Aktuális: 2006.12.15 - OpenOffice 2.1.0 angol/magyar
Régebbi hírek: 2006.10.18 - OpenOffice 2.0.4 angol/magyar
...
2002.12.07 - Megjelent a magyar OpenOffice 1.0.1 (47 build 9)

"OOo is érintett a hibában"

s/OOo is érintett a hibában/OOo is érintett a hibában __részben__ (DoS), de nem olyan mértékben mint az MS Word egyes verziói (kódfuttatás)/;

"A címbe való belekötés meg tényleg a lehető legnevetségesebb tőled, de ha már így történt, akkor jelezhetnéd az FSF.hu-nak is, hogy ők is mekkora lúzerek, mivel az openoffice.hu oldalon is mindenhol rosszul írják:"

Én tök viccesen jegyeztem meg, de a reakció az hamisítatlan hungeres lett. Nem az, hogy "tényleg, igazad van", hanem próbálsz mást is belerántani :)

További tévedés tőled, hogy az openoffice.hu oldalnak van valami köze is a FSF.hu-hoz:

"Az openoffice.hu oldalt fenntartja a Hunet Kft."

:)

Szerintem kevered ezzel az oldallal:

http://hu.openoffice.org/

--
trey @ gépház

kemeny szavak egy fostubustol

Vagy valakik nem akartak látni összefüggést a "jaj, mi az Apple-nél éppen most bukkantunk egy ilyen hibára csont véletlenül, amikor néhány hozzá nem értő kókler megkapirgálta és azt állította, hogy szar van a palacsintában... de egyébként semmi köze ám az egyiknek a másikhoz, még akkor sem, ha előtte a bibliára esküdöztünk, hogy nincs ilyen hibaaa...."

Gabucino && the bulletproof Mac OS X

Mág szerencse, hogy neked szar a Linux, szar az OpenBSD, szar minden, kivéve a nagyszerű és biztonságos Mac OS X.

Egyébként megértem én, hogy fáj ez neked, és amikor fáj, akkor jön a másik szapulása. Csak ez oly gyerekes. A hibákat nem én teszem a nagyszerű Mac OS X-edbe, a biztonsági figyelmeztetőket sem én írom, csak linkelem. :)

--
trey @ gépház

kar hogy eltereled a szot, pedig epp a Komoj Es Szakmay portalodrol volt szo

az is kar, hogy vegtelen megfeszult erolkodesedben hogy - miutan nehany honapja igen sok embernel felbukkant itt mint kedvenc OS - az osxet es engem megprobalj befikazni (mikozben a szanalmasan alulfejlett berylrol naponta aradozol, de ez a szived joga), megfeledkezel arrol a tenyrol amit lepten-nyomon hangoztatok (bar miota az egesz napodat a komolytalan fikazas tolti ki azota vonakodok erre a fosportalra nehany szonal tobbet irni), miszerint tapasztalatom szerint az egesz IT egy lyukas bugware szar, ezen belul az osx security pedig egy jol hangzo urban legend (bar ketsegkivul es tagadhatatlanul jobban vannak megvalositva benne a desktop security architekturalis alapjai mint mas, desktop-ra szant OS-eknek, pl linux, windows)

valtolan allitasok portalja...

Te beszélsz a "saját igazam hajtásáról"? :) Pont te? LOL. Engem nem kell félteni e téren, de hogy téged sem, az 1000%

"Szegény siposa se mer már többet megszólalni... :)"

Annak idején megkérdeztem tőle, hogy én látom-e rosszul, hogy annak az égvilágon semmi köze a témához, vagy tényleg nincs hozzá köze. Azt mondta, elnézte. Meg kellett volna hagynom a tévedésében?

--
trey @ gépház

Ez tényleg a legalja. Kritizálni nem nehéz. Gondolom senki nem gondolja komolyan, hogy én majd tűröm a kritikákat, de meg nem fogok megfogalmazni ilyet? Haha. Az a nevetséges, hogy a "nagy kritikusok" amikor krititkát kapnak, akkor milyen szánalmassá is tudnak válni.

--
trey @ gépház

Nem csak szánalmas ez a blikkezés, meg a "sweep own property" vagy mi a tököm, de unalmas is. Mindenesetre nem biztos, hogy ezt mindenáron katalizálni kell, de te tudod...
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

általában nem szoktam másokat sértegetni: a hozzászólásaid számomra egyértelműen azt mutatják, hogy emócionálisan és mentálisan is komoly sérüléseket gyüjtöttél be és valahogy muszáj kompenzálnod, haragudnod mindenkire. kicsi vagy és nagyon ki akarsz törni. valaki azért ilyen deviáns, mert kicsi a pöcse, más azért mert nem tudja elfogadni, hogy nem mindenki van az ő véleményén. de legalább jó sört iszol
( http://iwiw.hu/pages/user/userdata.jsp?tab=images&userID=8018665 ), amennyiben ez te vagy.

baráti jótanács: ha valamivel nem értesz egyet, még nyilatkozhatsz a jóizlés keretein belül

Most ugyanaz fog a kommentekben lefutni inverzben, mint a Ooo vs. MSO bugoknál? Tisztára mint egy teleregény, készítem a csokit meg a bort :)

Nem hiszem, mert közel sem hasonlítanám össze egy office alkalmazás összeomlását egy operációs rendszer teljes letérdelésével. Talán így rosszabb a helyzet, mintha a kódfuttatásról lenne szó :D

De ha megint találsz a témában egy néhány éves bugreportot, aminek semmi köze a dologhoz, akkor lehet... (vagy az nem te voltál?) ;-)

--
trey @ gépház

Jól tudom, hogy ha a kékhalál beáll, akkor a kódvégrehajtásba bekerült valami olyan kód, ami az exploitban van? akkor eszerint csak nem megfelelő utasításokat hajt végre?

[off]
LOL, ahányszor látom a hír címében a BetaNews nevét, valami megmagyarázhatatlan okból mindíg félreolvasom ButaNews-nak... [:-)]
[on]

Kar fentakadni egy ilyen kis bugon, ugy is mag 65ezer van a Vistaban... Amennyit javitani kell rajta, annyibol egy uj OS-t is lehene irni.