Kritikus sebezhetőség a Windows operációs rendszerekben, a Microsoft azonnal javít

Microsoft, Windows

A Microsoft arra figyelmeztetett, hogy egy olyan javítás kiadására készül, amely befoltozná az összes támogatott Windows verzióban jelenlevő biztonsági sebezhetőséget. Normális esetben a redmondi vállalat csak az ún. Patch Kedden (minden hónap második keddjén) ad ki biztonsági frissítést. A tény, hogy a Microsoft eltér a szokásos protokolltól azt jelezi, hogy a probléma valóban súlyos. A részletek elolvashatók a bejelentésben.

( pinyo_villany | 2008. 10. 23., cs – 23:46 )

csak nem innen az egyik exploit a felelos ezert (bar ketlem, mert ilyen exploitnak jo ara lehet a piacon)
___
info

( trey | 2008. 10. 24., p – 00:14 )

Ha már a 2000-ben is jelen volt, akkor hányan járhattak ki-be a Windows rendszereken az elmúlt években, te jó ég :)

--
trey @ gépház

( Huncraft v | 2008. 10. 24., p – 00:14 )

Ha igazak a hírek akkor a netapi32.dll-ben volt egy elég komoly hiba ami remote kihasználható..
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

( bervi | 2008. 10. 24., p – 00:22 )

nekem már fel is települt a javítás, úgyhogy nem csak készül :)

( Dwokfur v | 2008. 10. 24., p – 08:56 )

Múltkor egy távoli munkatársamtól kaptam egy megrázó emailt, amiben arra figyelmeztetett, hogy vírust talált a gépén. A fickó nem laikus és folyamatosan futott nála vírus irtó. Ennek ellenére azt írta hogy vagy három féle féreg veszekedett egymással a gépén. Őszinte sajnálatot éreztem iránta. Csak remélni merem, hogy a Windows-os fejelsztői gépem nem kap majd el semmit. Minden esetre gyakran mentek róla, bár lehet, hogy ezzel egy vírust is konzerválok...
Legutóbb pedig a főnököm kért tőlem pár slide-ot. Ahogy beraktuk a pendrive-ot, láttam, hogy ott figyel egy huncut kis autorun rajta. Na hova mutatott? Hát persze: a recycle bin-be... Mondtam neki, hogy biztos-ami-ziher alapon futtasson le egy teljes víruskeresést a gépén...

Üdv,
Dw.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

"Ha felhasználó bekapja levélben a wormot, vagy behurcolja, akkor mi van? Tzumi."

4 éve már, hogy még a default installos xp-k is szűrnek házon belül is...
Lehet fud-olni egész nap, attól még a tapasztalat (mifelénk) azt mutatja, hogy az elmúlt 5 évben nem volt nem tervezett rendszerleállás, se virus/worm probléma. Érteni kell hozzá, ilyen egyszerű.

"A fileszerverekkel mi lesz, Imo? :)"

Na tippelj. Valószinűleg ugyanaz ami a linuxos fileszervereket is megvédi egy smb-n terjedő worm-től. Patchelve vannak. Trükkös mi?

"Azt csak szívből tudom remélni, hogy nem te vagy a hálózatotok adminisztrátora. :D"

Ez magvas és szakmai volt, megint... :)))

Már csak azt nem értem, a hasonló linuxos bugoknál, hogy nem büffentesz be hasonlóan mélyreható gondolatokat:

"Ha már a 2000-ben is jelen volt, akkor hányan járhattak ki-be a Windows rendszereken az elmúlt években, te jó ég :)"

"ott flaimbaitnek szamito "

Hát ez itt baj, sok itt a szemellenzős vérpistike, akinek nincs jobb dolga, mint egy unix portálon egy teljesen átlagos és azonnal patchelt wines bugon csámcsogni, amiből a saját rendszerén is ezer van. Ez olyan szegénységi bizonyitvány. Mondom ezt úgy, hogy jópár linux szervert üzemeltetek, a legnagyobb megelégedéssel, pedig kb egyetlen szavamba kerülne a cégnél kidobatni és win-t telepiteni a helyükre. Mifelénk teljesen jól megfér a win és a linux szerver oldalon együtt.

de térjünk vissza az eredeti kérdésre: "A fileszerverekkel mi lesz, Imo?"

Összeomlik az összes wines fileszerver természetesen, elvégre ilyen még a világon nem volt se winen, se linuxon, hogy egy egyébként a rendszerek 99,99999%-án a net felöl tűzfallal tiltott porton lévő szolgáltatásban hiba legyen és erre a szokásos időpont helyett azonnal kiadjanak patch-et, amit fel kell tenni. Ráadásul a patch előbb jelent meg, mint az első exploit. Ez tényleg elképesztő esemény, szerintem a hiradóban is bent lesz.

Éa nyilván 8 éve ki-be járkálnak a wineken emiatt, hiszen ilyen se volt még soha semmilyen rendszeren, hogy több évre visszamenőleg érintsen egy hiba verziókat.

Vajon lehet még a fud-ban lejjebb süllyedni? Nem valószinű, bár itt gyakran tudnak meglepetés okozni "szakemberek" a témában :))

Előttem van, ahogy a hosszú hétvégén az összes rendszeradminisztrátor berohant a céghez és rohamléptekben deploy-olta a patch-et mindenféle előzetes teszt nélkül az éles rendszereire mert "jószakember". :)) Sőt, még jobb szakemberek ezt távolról csinálták remote desktop-pal. :D

--
trey @ gépház

Nyilván nem, de nem is jelenti azt, hogy egy kiadott patch-et azonnal hétfő reggel 8 órakor majd deployolnak _egyszere_ egy vállalatnál az összes szerverre. Tesztelés után majd. Szerinted melyik az az adminisztrátor, amelyik vakon rányomja majd ezt a rendszerre, majd rebootol aztán lesz ami lesz? Most egy vállalat teljes átállításán dolgozunk. Itt 8 szerver került élesítésre az elmúlt órákban. Élesben dolgoznak már rajtuk. Szerinted megcsináltuk, hogy rányomtuk ezt a frissítést vakon a éles szerverekre? Egy frászt. Van itt egy tesztgép, előbb azon deploy-oltuk, majd mikor az probléma nélkül ment, felment az éles gépekre is. De mi most dolgozunk. Vannak olyan cégek, intézmények, ahol hétvégén is dolgoznak. IT nélkül.

--
trey @ gépház

Egy malomban őrlünk, de szerintem olyan helyeken, ahol ez számít, ott bele van foglalva az admin munkaköri leírásába az ilyesmi. Mondjuk szerintem ebből akkor is elég nagy Blaster/Sasser-szerű gond lesz, de legyek rossz jós.
"no video codec le a win32vel", de "Gentoohoz lehet meg tul fiatal vagy"

No most innentől jön be az "az ellen nem véd"-téma. Annál a cégnél, ahol a sysadmin nem értesül róla hamar (és nem is cselekszik gyorsan), ott vagy nem számít az egész, vagy hatalmas baj van. Ezért is böktem ezen postom végére azt a mondatot.
"no video codec le a win32vel", de "Gentoohoz lehet meg tul fiatal vagy"

ideje körülnézned a patch menedzsment terén, úgy tűnik megrekedtél valahol win98 környékén...

Nálunk a teszt rendszer 8 féle hyper-v-s vm-ben fut és igen, távolról már megtörtént a patch automatizált tesztelése és a kiszórása is a kliensekre. Ja, a kritikus és egyedi klienseket távolról, intel vpro-val kapcsolom be, ha szükséges. Hogy mik vannak... :)))

"Mindenhol megvannak ezek az infrastruktúrák?"

Nincsenek. De mondok egy elképesztő dolgot neked - valszeg ez is bekerül a hiradóba: vannak olyan helyek ahol aprópénzbe kerül, ha 3 napra leáll a teljes IT. És olyan helyek is vannak ahol 1 óra leállás 10 millióba kerül.
Kapisgálod?

Az a bajod, hogy te a problémát csak a saját szemszögedből nézed. Neked ez talán nem okoz problémát. Én meg egy 3rd party szupport szempontjából nézem, tisztában vagyok azzal, hogy milyen állapotok vannak az országban, meg azzal is, hogy hány óra túlóra és éjszakázás nézhet ki ebből. Önhibámon kívül. És ez nem tesz boldoggá. Kapisgálod?

--
trey @ gépház

Ezt én mind elhiszem, könnyekket is hullatok, ha szükséges. Csak egyet árulj el, a linuxot érintő, szabadnapon megjelenő kritikus bugoknál is előadod majd ugyanezt a sirást, fud-ot? Mert szerintem ott pont ugyanezek a feladatok vannak, pont ugyanezzekkel a kihivásokkal. Sőt, én is mentem már be hétvégén céghez mikor az egyik debian lehalt egy patch-től, de nem sirtam el magamat tőle.

nincs rá lehetőség, hogy néha pult alól demózd a customernek, hogy például a bubuntu kiszolgálói termékcsaládja nemcsak hogy tökéletesen kiváltja ezeket az eretnekségeket, nem csak olcsó windows, hanem messze túlmutat rajtuk? ugrana a bátor kiskecske, pörögne-forogna a kisdelfin az akváriumban, a customer győztesként jönne ki a nagy októberi gazdasági válságból, te pedig nem találkoznál többe windows patchekkel. win-win megoldás, ennyit megér

Sajnos nem tudom, hogy beszélhetek-e a céges dolgainkról. Ha kiderül, hogy beszélhetek, akkor majd tájékoztatlak a jövőbeli terveinkről. Annyit talán elmondhatok, hogy ügyfél oldalról komolynak látszó igény jelentkezett arra, hogy a jelenlegi windowsos termékeinket portoljuk mielőbb Linux-ra.

--
trey @ gépház

Valószínűleg még így sem igaz, illetve attól függ, hogyan definiáljuk a "publikus exploit" kifejezést... :)

A sebezhetőséget a Microsoft félig automatizált monitorozási rendszerén keresztül fedezték fel, a különböző kártevő programok támadásának analizálása közben.

Tehát valaki ezt a hibát már aktívan kihasználta a "vadonban". ;)

Kicsit off.
Ez az autorun.inf-es szemétség szívat minket is. Terjed minden osztott hálózati mappán, PenDrive-on, lokális meghajtókon, stb. Én nem igazán kutakodtam a témában, azt tudom hogy a nálunk központilag licencelt és ajánlott VB nem fogja meg (igaz az mást se, de ez most itt offtopic). De kollégám végignézett jópár külföldi fórumot a vírussal kapcsolatban, normális irtót sehol nem tudtak rá...állítólag a TrendMicro legújabb víruskergetője megfogja. Workaround ugyan van rá, de az max azt akadályozza meg hogy terjedjen vagy hogy a gépet megfertőzze, kiirtani legfeljebb manuálisan lehet. Ez a probléma már fennáll egy ideje, MS mégse nagyon javította eddig...

VB megfogja. update...

szerk: az MS-nek mit kéne javítania? Az autoplay kényelmi funkció önmagában hordozza a lehetőséget, de eddig azért nem használták ki, mert floppyn nem működik, az észrevétlen CD-re írást meg bonyolultabb megoldani.
Megoldás:
1. letiltod
2. felteszel vírusirtót és vagy elkapja vagy nem
3. MAC (nem az apple fajta)

Nem lehet, biztos... több egyetemi hálón láttam már terjedni ezt a szrt, és mivel manapság mindenki pendrive-val mászkál, a diákok gépei is tele vannak a különböző verzióival(!) - valamelyik recycle bint csinál, valamelyik random nevű exe-t tesz az autorun mellé, valamelyik system.exe vagy autorun.exe néven létezik.

Mivel én linux+rm módszerrel irtom ha látom, nem tudom mi a neve és mit csinál, de a szaporodása alapján biztos nem jóindulatú ;)
(amúgy hatalmas ötlet a készítőtől az autorun... a körbecserélgetett adathordozók miatt gyakorlatilag kiirthatatlan, állandóan újrafertőz - persze vastagon benne van az is, hogy sok helyen korlátlan admin jogú a "diak" felhasználó, és mellette van egy "adminisztrátor" jelszóval, biztos azért, hogy a "diak" megváltoztathassa azt ;) )

ClamAV észreveszi? Még azelőtt leformáztam a pendriveot hogy ki tudtam volna próbálni rajta. Pont tegnap. :/

Azért mondom hogy csak 'lehet' hogy fertőztem, mert leginkább csak nyomtatni szoktam vinni rajta anyagot (és akkor valszeg onnan is szereztem), másra ott a net. De ha elég régóta rajt volt, akkor máshoz is elkerült.

szerk: Azért is fura, mert ezen van olyan írásvédett/nem írásvédett kapcsoló mint régen a flopikon, és ha viszem valahova be szoktam billenteni. Nem tudom, hogy ez valójában mekkora védelem, de engem nem enged írni rá ilyenkor.

Lehet elrepül a fejem felett a vicc, de

a. a saját gépen se autorun, se windows nincs.
b. ha valakivel fájlt kell cserélni, kezébe adom és visszakapom
c. a bótba lásd b.

Ha most b és c egymás között kicseréli a vírusait, és ez nekem most esett le, akkor ezután figyelni fogok, de ezt nekem honnan kellett volna tudnom?

Ez jogos, és benéztem. Általában mindent fájlt letörlök a gyökérből ami épp nem az aktuális anyag mielőtt vinném valahova. A recycle binhez nem nyúltam, mert nem voltam benne biztos hogy nem lenne ott megint, mire visszakapom.

Viszont volt olyan, hogy csak siettemben rátoltam anyagot, és olyan is, hogy egymás után több egyénnél volt mire újra ránéztem. Mea culpa.

( jzola v | 2008. 10. 24., p – 11:35 )

én MS ben csak azt utálom hogy bármilyen update után újra kell indítani.
Emlékszem még vista kezdeti marketingnél, "hogy kevesebbszer kell újraindítani" aztán RTM nél valahogy nem reklámozták ezt. na meg vista gyors bootolása is hasonló.
win7 nél meg szerintem meg se fogják említeni, rájöttek hogy nem tudják megoldani.

( bastya_elvtars | 2008. 10. 24., p – 15:49 )

Egyébként innen letölthető külön is, akinek kell.
"no video codec le a win32vel", de "Gentoohoz lehet meg tul fiatal vagy"

( nevergone v | 2008. 10. 25., szo – 15:19 )

a 3.11 -et érinti? :)

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."