"Microsoft: két éves reagálás egy kritikus 0day-re"

 ( trey | 2009. augusztus 16., vasárnap - 9:40 )

A napokban fény derült arra, hogy a Microsoft már több mint két éve tudott arról az Office Web Components-ben (OWC) levő kritikus biztonsági hibáról, amelyen a legutóbbi patch kedden javított. A vállalat csak azután kezdte csipkedni magát a javítás elkészítésére, miután tudomására jutott, hogy a hibát aktívan kihasználják.

A Zero Day Initiative (ZDI) 2007 márciusában jelezte a Microsoft-nak a Peter Vreugdenhil által felfedezett sebezhetőséget, amelyet a rosszindulatú támadó sikeresen kihasználva felhasználhat kódinjektálásra és -végrehajtásra. Hosszú időn keresztül semmi sem történt annak érdekében, hogy a vállalat megvédje a hibából adódó károktól az ügyfeleit.

A napokban kiadott hibajegyében a ZDI megerősítette, hogy a redmondi cég már két éve tudott a hiba létezéséről.

A szoftveróriás csak azután kezdett neki a probléma megoldásának, hogy egyértelműen világossá vált, aktívan kihasználják az interneten a sebezhetőséget arra, hogy rosszindulatú kódokat futtassanak az áldozatok számítógépein.

Gyorsan figyelmeztetőt adott ki, majd bejelentette, hogy nekiáll a javítás elkészítésének. Ezután kevesebb mint egy hónap alatt elkészült a fix, amelyet a szokásos patch kedd keretén belül kiadott a MS09-043 képében.

A H Security szerint a redmondi vállalat válasza arra a kérdésre, hogy miért tartott ilyen sokáig a reagálás, egy "no comment", azaz a "Minden sebezhetőség ... más és más", a "Minőségellenőrzési folyamat hosszúra nyúlhat", a "bizonyos körülmények közt, az ideálisnál hosszabb lehet" közhelyek voltak.

A részletek itt olvashatók.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

ezért kell eladni az exploit, és akkor még több pénzed is lesz, és a microsoft is gyorsabban javitja :)

Ezt terjeszteni fogom!
--
Fight / For The Freedom / Fighting With Steel

Bele sem merek gondolni, hogy hány hasonló hiba lehet benne amiről már tudnak, hiszen azt nem hihetjük, hogy fejlesztők két évig semmit sem csináltak.

Persze, hogy csinálnak valamit két év alatt is :) További hibákat implementálnak ;)

ismerünk ennél szaftosabb történeteket is, és nem a Microsofttal kapcsolatban.

Ez mitől szaftosabb?

Mert nem kell ravenni a parasztot az interakciora, elintezik ezt a gepek egymaskozt.

---
pontscho / fresh!mindworkz

A posztban emlegetett sírásrívás oka szerintem az a hozzáállás, hogy nem javítottak ki egy ismert hibát, nem az, hogy hogyan lehet kihasználni.

Biztos van még néhány "ismert hiba" függőben náluk, amely a már nem fejlesztett szoftvereiket érinti és lehet jópár olyan bug is, ami viszont az aktívan fejlesztetteket érinti és ezért priorizálni kénytelenek.

ezért priorizálni kénytelenek.

jaj szegények, mindjárt sírni fogok, és megyek a zsepiért. ;-)

Tőled azért szvsz elvárható lenne ilyenkor is előadni a szokásos - egyébként gyakorta jogos - műsorodat, hogy a gonosz/lusta/szabadon választott egyéb becsmérlő jelző/ fejlesztő gyakran szarik a biztonsági hibákra amíg nincs körülötte hírverés. ;-)

a már nem fejlesztett szoftvereiket érinti

Ha már szóba kerültek a fejlesztett szoftverek, mikor tudomást szereztek a hibáról 2007 ben, melyek voltak az érintett szoftverek közül azok, melyekre akkor volt hogy is hívják..hmmm...szupport vagy mi... ;-) ?

----------------

20:45 < Mizu> amiota ubuntu van azota csinalja
20:45 < Mizu> debian alatt nem csinalta
20:45 < Mizu> ott mukodott faszan

Nem azt mondtam, hogy amit csinálnak jó, hanem hogy az erőforrásaik feltehetőleg nekik is végesek, az érintett szoftver komponens pedig már egy ideje obsolete.

hogy az erőforrásaik feltehetőleg nekik is végesek

Ez mióta is érdekel téged ?? ;-) megint könnyezni fogok.

az érintett szoftver komponens pedig már egy ideje obsolete.

Ismét kérdés. Support volt még rá 2007ben? Amikor ugye a hibát bejelentették.

----------------------

20:45 < Mizu> amiota ubuntu van azota csinalja
20:45 < Mizu> debian alatt nem csinalta
20:45 < Mizu> ott mukodott faszan

2012-ig van rá support, de nyugodtan nézz utána, ne nekem kelljen a kérdéseidre válaszolgatni.

Oke, akkor kerdes: ha van ra support - tehat fejlesztett szoftvernek minosul -, akkor hogy alakul a te reagalasod a szal elejen? Hogy is van ez a priorizalos dolog?
Ahh, ugyse fogsz a kerdesekre valaszolgatni...
--

()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

úgy ahogy a szál elején írtam, meglepő módon...

2006. november: megjelenik az Office 2007
2007. március: bejelentik ezt a security hibát, ami az Office 2003-at érinti és a régebbi verziókat
2007. március: a MS elfogadja a hibát és mivel az Office 2007-et nem érinti, csak a régebbi verziókat, ráadásul nem "publikus" a hiba, ezért beteszi a bugfix queue-ba a többi hiba közé, hogy majd ha lesz rá kapacitás, akkor javítják
2009. augusztus: egész eddig nem képesek javítani a problémát a régi Office verziókban és már a ZDI-nek se hoz több lóvét, ráadásul az NSA is már béna módon használta ki úgy, hogy kiderüljön, ezért beszólnak MS-nak és publikálják a hibát

HTH ;)

Hat tudod, ha a supportalt termek azt jelenti, hogy siman tele lehet _ilyen_ ismert secu problemakkal, azzal a vilaggal nagy gondok vannak. Csak orulok annak, hogy nincs permanens szuksegem az Office termekekre, viszont sajnalom azokat, akik ezzel a bughalommal kenytelenek dolgozni.

Es az az igazsag, hogy nem is az a szomoru a dologban, hogy egy secu problema 2 evig tud ismert es ismeretlen lenni egyszerre, hanem hogy nincs olyan szabaly/felugyeleti szerv/tudomisen micsoda, ami egy ilyen ismert termek eseteben szabalyozna, hogy mennyi idon belul kell kijavitani egy ilyen exploitot.

Az mar csak ugy siman vicces, hogy a bug meg 2 ev alatt sem ert le a bugfix queue aljara.
--

()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

>> ilyen ismert termek

most hallottál róla először

Ne teveszd ossze magadat velem.
--

()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Hat tudod, ha a supportalt termek azt jelenti, hogy siman tele lehet _ilyen_ ismert secu problemakkal, azzal a vilaggal nagy gondok vannak.

Pedig ennél sokkal rosszabb a helyzet... ;)

Van egy Ben Nagy nevű, gyanúsan magyar származású figura, aki nem rég azzal foglalkozott COSEINC-nél, hogy 5 db klaszterbe kötött quad Xeon szerverrel végzett automatikus programozási hiba felderítést úgy, hogy folyamatosan fuzzolta a Word 2007-et. ESXi-n futó 72 virtuális gép napi 1.7 millió próbát tett, azaz másodpercenként 20-at és ennek 10%-a crash-t okozott. Ekkora mennyiségű hiba felderítésénél automatikussá kellett tenni annak eldöntését is, hogy a felfedezett hiba security szempontból releváns-e. Ehhez az MS !exploitable nevű crash analizáló eszközét használta és el lehet képzelni, hogy csak ezzel a módszerrel hány biztonsági hibára derült fény.

Másodpercenként 2 hiba, aminek valamekkora része biztonsági hiba. Amikor ennyi bug report ömlik be a Microsofthoz csak egy adott termékkel kapcsolatban, amely ráadásul az adott termékcsalád jelenlegi zászlóshajója (Word 2007), akkor ellehet képzelni, hogy mennyire számít fontosnak náluk egy régebbi verziókat (Office XP - 2003) érintő sebezhetőség.

Lehet álmodozni persze, hogy más gyártók termékei jobbak és azokban nincs ennyi biztonsági hiba, de amíg azokat is emberek fejlesztik, addig ez csak naív vágyakozás és rajongás.

Lehet álmodozni persze, hogy más gyártók termékei jobbak és azokban nincs ennyi biztonsági hiba, de amíg azokat is emberek fejlesztik, addig ez csak naív vágyakozás és rajongás.

Mondjuk azok nem mindegyik kerül x db 20.E forintosba.

Amikor ennyi bug report ömlik be a Microsofthoz csak egy adott termékkel kapcsolatban

Akkor nagyjából ennyit az IT SW it sw-iparról úgy általában. ;-)

Ha az autószerelők Autószerelők ilyen munkát végeznének... ;-)
...másodpercenként 2 kocsi törne darabokra. :-))
-------------------

20:45 < Mizu> amiota ubuntu van azota csinalja
20:45 < Mizu> debian alatt nem csinalta
20:45 < Mizu> ott mukodott faszan

ez már mélydemagógia
(egyébként pedig az autószerelők pontosan ilyen munkát végeznek, darabokratörésről pedig itt sem volt szó)

folyamatosan fuzzolta a Word 2007-et. ESXi-n futó 72 virtuális gép napi 1.7 millió próbát tett, azaz másodpercenként 20-at és ennek 10%-a crash-t okozott.

szoftverösszeomlás<-> autó darabokra törése, hmm... :-)

Lehet pl. motor lefulladás jobb hasonlat lett volna ez esetben ;-)

lehet demagogiát kiáltogatni, de a szoftveripar azért a fogyasztóval szemben borzasztóan sokat megenged magának más iparágakkal szemben.

---------------------

20:45 < Mizu> amiota ubuntu van azota csinalja
20:45 < Mizu> debian alatt nem csinalta
20:45 < Mizu> ott mukodott faszan

más iparágat ismerve belülről bennem eltérő magánvélemény alakult ki a tiedhez képest

Ha egyformák lennénk, és mindenben egyetértenénk unalmas lenne az élet :-)

------------------

20:45 < Mizu> amiota ubuntu van azota csinalja
20:45 < Mizu> debian alatt nem csinalta
20:45 < Mizu> ott mukodott faszan

:)

Kedves Hunger!

Megadom az esélyt arra hogy visszavond a következő hozzászólásodat baromi sürgősen, ezért nem ott írom be hogy válasz erre.

Úgy látom újabban nem csak a humorodat vesztetted el, de a gerincesek fajából is kiiratkoztál. És ezen nem változtat a mondat végén a szmájli sem.

Ha van bizonyítékod arra, hogy "sztrájkoló vasutas vagyok minden évben", akkor add elő, / egyáltalán mikor sztrájkoltam nap-óra-perc / ellenkező esetben viszont sürgősen töröld a hsz edet, és ne terjessz rólam abszolút offtopic módon, gerinctelenül baromságokat.

Kösz.

De van egy olyan sanda gyanúm, hogy a hozzászólásod módosítása reménytelen kérés az ehhez szükséges gerincedet már elvesztetted.

U.I.: Ez itt nem az irc...

U.I 2: IRL információk kiszivárogtatásáért jobb helyeken permanent ban jár.

------------

20:45 < Mizu> amiota ubuntu van azota csinalja
20:45 < Mizu> debian alatt nem csinalta
20:45 < Mizu> ott mukodott faszan

egyrészt tökéletesen egyetértek veled, másrészt viszont szomorúan konstatálom, hogy nem vállaltál szolidaritást a munktársaiddal

másrészt viszont szomorúan konstatálom, hogy nem vállaltál szolidaritást a munktársaiddal

A helyzet ennél sokkal bonyolultabb a speciális munkakörülmények miatt, de ennek megvitatása nem tartozik a széles nyilvánosság elé.

szerk:

annyi még talán belefér, hogy túlnyomórészt külföldön végzem a munkavégzésemet - az említett speciális körülmények -, tehát ott kelle(tt volna) a "szolidaritási sztrájkot" vállalni :-)

szerk vége.

Most ezt vagy elhiszed nekem, vagy úgy gondolod hogy mindössze "nem volt vér a pucámba" a "szolidaritási sztrájkhoz".

Harmadrészt úgy gondolom, hogy az elmúlt években a sztrájk célkitűzéseinek szerintem gyakorta inkább volt politikai célja, mint munkavállalói érdekvédelem.

Egészségetelenül keverték a kettőt. Volt ebből is egy kicsi, meg abból is egy nagy...

De ez itt már rohadtul offtopic :-)))

---------------------

20:45 < Mizu> amiota ubuntu van azota csinalja
20:45 < Mizu> debian alatt nem csinalta
20:45 < Mizu> ott mukodott faszan

Most már csak a saját hozzászólásaidat kéne visszavonni. :o
Nem volt benne semmi szégyellnivaló, meg itt úgyis ismer mindenki mindenkit, na hallod ahol képesek visszakeresni a muki hozzászólásait évekre visszamenően... Nagy család. Mitagadás, néha van egy-két kitagadás.

Nem volt benne semmi szégyellnivaló, meg itt úgyis ismer mindenki mindenkit,

Ez nem az irc, másrészről itt nemcsak rólunk van szó akik írkálunk huppogunk. Ezt bárki olvashatja.

Teljesen egyetértek vissza is vonnám ezt a szálat mivel Hunger végül moderálta magát, de mivel snq hozzászólt ezt csak trey tudja megtenni. :-)

Ha már hozzászóltak a hsz később user szinten nem szerkezthető.

--------------------------

20:45 < Mizu> amiota ubuntu van azota csinalja
20:45 < Mizu> debian alatt nem csinalta
20:45 < Mizu> ott mukodott faszan

Igen, ezért is bátorkodtam offolni, "úgyismindegymán" alapon...

és miért nem törekedtek arra, hogy a programjuk napi 10 új feature ötlete helyett (ebből napi 1-et se használnak ki a felhasználók) egy szoftverük, ami vastag pénzbe került termék, legalább konvergáljon a minőségihez. pl. akár úgy is, hogy a lázálomként megjelenő új ötletek elől vegyék el a prioritást annak érdekében, hogy egy hibát (megvásárolt termék hibás működése nem legyintés kategória, csak a szoftveriparban) javítsanak, ami ráadásul eladhatóan visszaélésekre vezet?

nyilván prioritási listájuk van, de valamiért mégis az eladhatóság az egyetlen szempont (vedd meg, mert a régit már leszarjuk és különben is kompatibi problémáid lesznek). értem, hogy vállalkozás, viszont fizettek a termékükért. ezt se ártana szem előtt tartani. megteszik?

--
xterm

(ebből napi 1-et se használnak ki a felhasználók)

Ezt én nem tudom, neked van erre valamilyen statisztikád?

ami vastag pénzbe került termék, legalább konvergáljon a minőségihez

Tudsz mondani egy hasonló funkciókkal bíró azonos terméket, amely "minőségi" (akár olyat, amely szintén vastag pénzbe kerül, de nincsenek benne biztonsági hibák)?

ráadásul eladhatóan visszaélésekre vezet?

Vista óta (mióta van ASLR Windowsban) már nem túl egyszerű azon kliens-oldali hibák kihasználása, amelyek file formátum feldolgozási problémán alapulnak. Nem véletlenül sütötték el a kínai haxorok 3 éve - a Vista megjelenése után - nagy számban az ilyen jellegű MSOffice 0dayeket, mert látták, hogy a Vista elterjedésével ezen exploitjaik értéktelenné válnak.

Úgyhogy nagy visszaélésekhez ezek a fajta bugok nem vezethetnek és gyanítom a COSEINC is azért foglalkozott még ezzel, mert az MS ilyen oldalról is szeretné bezárni a lehetséges problémákat.

új ötletek elől vegyék el a prioritást annak érdekében, hogy egy hibát (megvásárolt termék hibás működése nem legyintés kategória, csak a szoftveriparban) javítsanak
[...]
nyilván prioritási listájuk van, de valamiért mégis az eladhatóság az egyetlen szempont

Nem ez az egyetlen szempont, azért ez túlzás. De egyértelmű, hogy ez egy elég nagy dilemma, mert a látható új ötleteket könyebb eladni, mint a nem látható security újításokat, biztonsági javításokat (tudsz bárkit is, aki az ASLR miatt vette meg a Vistát?). Az MS meg az eladásokból él, úgyhogy muszáj látható újdonságokat is fejlesztenie, mert az emberek jórésze csak ezért ad ki pénzt.

Emiatt nincs túl nagy sikere a PaX-nak sem a Linux terén, mert még a fejlesztők se nagyon látják át, hogy mennyi security probléma ellen nyújt hatékony védelmet. Keveseket érdekel ilyen szinten a biztonság. De maga a Vista is kiválló példa erre, hisz a rengeteg security megoldás ellenére sem sikerült az XP helyére lépnie (persze közrejátszottak más dolgok is, ez igaz, de azért látszódik szerintem belőle a lényeg).

Egyébként azt gondolom, hogy az MS bizony vesz el prioritást mostanában az új ötletektől (nem is kicsit) és egyre több időt és pénzt fordít a biztonságra. Tagadhatatlan tény, hogy a szoftverfejlesztő cégek közül ők fordítanak a legtöbbet mára a security-re. Dollármilliókat költenek el rá évente, de egy akkora forráskód állománynál - amellyel rendelkeznek - és ekkora fejlesztési ütem mellett csak nagyon lassan fog ez a befektetésük megtérülni...

statisztika? neked van az ellenkezőjéről? ;) gyanítom nincs. amúgy csak az jeleztem ezzel, hogy sokkal több csicsa, gui feature jelenik meg, mint ahány lik tűnik el (2 év kissé húzós, nem? vagy az érveid írásakor nem érzed furának a 2 évet?)

azt viszont sajnálom, hogy a biztonság hátrább kerülését te simán elfogadod azzal, hogy másnál mi a helyzet (kár). nekem csúnya hibának tűnik az, hogy egy programba hamarabb kerül be egy más formájú start gomb, mint hogy kijavítsanak egy olyan hibát, amit kihasználnak azért páran. tudom, hogy sok időt/pénzt fordítanak biztonságra (amúgy muti a statisztikát :D amivel alátámasztod, hogy ők fordítanak a legtöbbet rá)

a vista elterjedése azért nagyvállalati területen nem akkora, hogy ennek a megléte miatt hátradőljenek és ne javítsanak "régebbi" bugot.

--
xterm

statisztika? neked van az ellenkezőjéről? ;) gyanítom nincs

Pedig van, de elég megnézni akár egy pár száz felhasználójú Office 2003-2007 vegyes hálózatban az új verziót használó userek milyen szépen használják ki az O2k7 adta előnyöket, újdonságokat.

amúgy csak az jeleztem ezzel, hogy sokkal több csicsa, gui feature jelenik meg, mint ahány lik tűnik el

Ez csak a te szubjektív magánvéleményed, nem az igazság.

(2 év kissé húzós, nem? vagy az érveid írásakor nem érzed furának a 2 évet?)

De igen, sőt hogy ne menjek messzebbre épp ma is így éreztem a RHSA-2009:1222-02 kapcsán, hogy az RHEL5 kernelben 3 év után javítottak csak egy publikus sebezhetőséget.

azt viszont sajnálom, hogy a biztonság hátrább kerülését te simán elfogadod

Valamit félreolvashattál, én sehol nem fogadtam el ilyesmit, sőt...

egy programba hamarabb kerül be egy más formájú start gomb, mint hogy kijavítsanak egy olyan hibát

Ez csak a te szubjektív magánvéleményed, nem az igazság.

boldog ember lehetsz, hogy te _mindenről_ ismered az igazságot ;) sőt, még olyan statisztikáid is vannak, amik az én általam ismert userek körében kialakuló gyakorlatról készülnek. benfentes lehetsz :) majd hozzád fordulok, ha valamilyen kérdésben nem ismerem a választ, hiszen te arra is fogod tudni.

Idézet:
Ez csak a te szubjektív magánvéleményed, nem az igazság.

ez meg csak a te véleményed és nem az igazság...

--
xterm

Erdekes.

Kicsit furcsalom, hogy MS eseten jaj szegeny MS nincs eroforrasuk mindenre szoveget adod elo, mondjuk Linuxnal meg jaj miert nem forditanak idot arra egy bugfixnel, hogy megalapitsak van -e security vonzata.


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

az ms az egy szoftver?

Tetszoleges MS software temekkel behejetesitheted, masik oldalaon is megoldhatod ertelemszeruen, hogy egy halmazba keruljenek, ha ez nem ment volna magadtol.


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

owc vs kernál?

kernal utoljara a C64-ekben volt... :-)
--

()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Attol meg a debil-fele SSL "fejlesztes" zaftosabb. :)

---
pontscho / fresh!mindworkz

mozilla jobb pelda lenne

--
When in doubt, use brute force.

Ja, vagy anyám, ő is lassan reagál.

:D


No rainbow, no sugar

gondolom az M$ az exploit megirasaval es titkos eladasaval is penzt akart keresni :)

--
Live free, or I f'ing kill you.

Hamar munka sose jó.

No igen, de a lassú munkához meg idő kell. :-)

A pocsek munkahoz meg tobb - lsd. Vista.
--

()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

szeretnél te ilyen pocsék munkát végezni

+1

while (!sleep) sheep++;

Nezd, alapvetoen mint user nincs is sok bajom a Vista-val - csak epp eromu kell ala, ha az ember nem kepregenyt akar nezni, hanem dolgozni.
--

()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

"A vállalat csak azután kezdte csipkedni magát a javítás elkészítésére, miután tudomására jutott, hogy a hibát aktívan kihasználják"

Addig is ok hasznaltak ki... ;-)