Szeptember óta tudott az IE 0day biztonsági sebezhetőségéről a Microsoft

 ( trey | 2010. január 24., vasárnap - 15:50 )

A Kaspersky Lab Security News Service egyik cikke szerint a Microsoft bevallotta, hogy szeptember óta tudott a nemrég befoltozott, a Google és az Adobe ellen indított támadásokban kihasznált Internet Explorer biztonsági sebezhetőségről. A sebezhetőségről Meron Sellen, a BugSec névre hallgató biztonsági vállalat white hat hackere értesítette a Microsoft-ot. Az MSRC-s Jerry Bryant elmondta, hogy a Microsoft tavaly szeptemberben megerősítette, valóban súlyos a sebezhetőség.

A Microsoft állítólag a februári patch kedden javította volna a biztonsági problémát, de mivel arra széles körben fény derült, kénytelen volt soron kívül javítani. A cikk megjegyzi, hogy akkor is érdemes a Windows felhasználóknak mielőbb frissíteni, ha nem is használnak rendszeresen Internet Explorer-t, mert a sebezhetőség kihasználható azáltal is, hogy a támadók ActiveX control-t tesznek egy Microsoft Access, Word, Excel vagy PowerPoint fájlba. A cikk itt olvasható.

Az idevágó biztonsági közlöny itt található.

Máshol arról írnak, hogy megkezdődött a bug széleskörű kihasználása.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

hőbörög ON

egy kicsit is magát szakértőnek nevező cégvezető elé mikor rak valaki ilyen "apróságot"?

csak hogy tudja a tisztelt cégvezető, hogy kinek tejel, és hogy miért kell egy plusz informatikust megfizetni, mer' már' megint vírusos lett az adott gép, és ontja magából a spamet, utána meg sz*r a mail szolgáltató spam szűrője, mi? és kiesés van a production-ban ilyenek miatt. ez egy jól átgondolt gazdasági modell lenne?

hőbörög OFF

--
irj egy e-mailt, ha itt barmi hibat talalsz. ^ ^

Igen! Csak nem neked, hanem a reszvenyeseknek. Mert a kovetkezo verzio ugy lesz beharangozva, hogy ...

unalmas.
--
"Kernel fordítás, fúj... Pótcselekvés."

Nagyon felkapott téma lett ez mostanában (/bored). Érdekes cikk a flamelőknek.

Esetleg arról nincs valami kimutatás, hogy mennyi kívülről bejelentett sebezhetőség van még a Microsoft "sunnyogási queue"-jában? Mert ez a második rövid időn belül, amelyről kiderült, hogy hónapok óta takargatták.

--
trey @ gépház

A cikket jegyző is megérdemelne egy méretesebb pofont - ha már valódit nem, hát virtuálisat a baromságai miatt.

"A HUP-on többször is előjött témaként a Microsoft szoftvereiben található sérülékenységek számossága, súlyossága, no meg főleg az a tévhit, hogy a Microsoft nem reagál rá időben." - nem először derül ki, hogy egy sebezhetőségről régebb óta tudnak, ergo nincs szó semiiféle tévhitről. Trey-nek igaza van: nyilvánosságot kaphatna a sunnyogási queue...

-------------------------
Trust is a weakness...

Az ott hivatkozott Jeff Jones elemzéseinek alapjait az évek során többen is megkérdőjelezték. Elfogulatlansága - mivel Microsoft alkalmazott - kétséges.

--
trey @ gépház

Megkérdőjelezés: Arra kérlek, légyszi idézz néhányat. Biztonsan nyilvánosak az írások. Csak a rend kedvéért.

Elfogultság? Ebben a tekintetben nem mondhatok semmit. Ettől függetlenül bíztatok mindenkit az idézett cikkek és tanulmányok elolvasására. Hasznosak.

Üdv:
Lepenye Tamás

Majd én idézek : "Elfogulatlansága - mivel Microsoft alkalmazott - kétséges."

Elég? Ez pontosan annyi, amennyinek lennie kell: "Elfogulatlansága - mivel Microsoft alkalmazott - kétséges."

Ettől függetlenül nem kérdőjelezem meg, hogy hasznos lehet az idézett cikkek elolvasása (elolvasnám, ha lenne rá időm).

Azokra a cikkekre voltam kíváncsi, amelyek az évek során Jeff Jones tanulmányait megkérdőjelezték.

Üdv:
Lepenye Tamás

Parancsolj: első találat (13 másodperc):
http://blogs.zdnet.com/security/?p=831
Nem feltétlenül az én véleményem, sem hogy nem értek vele egyet, csak egy megkérdőjelezés. Ezért kár volt ennyit írnunk.

Én egyszer vettem a fáradságot és elolvastam az elemzéseihez és cikkeihez érkezett kommenteket. Érdemes őket elolvasni. Ezeket megtalálod Jones blogjában.

Az utolsó amire emlékszem, az Brian Krebs, a Washington Post security rovatának vezetőjével folytatott vitája:

"Once again, Microsoft's security evangelist Jeff Jones has tried to substantiate his proposition that Internet Explorer is at least as secure as Firefox. However, the Washington Post's Brian Krebs has clarified that the figures Jones used for making the comparison, are misleading."

Itt a H Security cikke.

Érdekes lehet ez is:

Critical Vulnerability in Microsoft Metrics

--
trey @ gépház

"Elfogultság? Ebben a tekintetben nem mondhatok semmit.">miért? megtiltották? (szerk.: mikor ezt írtam, még nem is láttam, hogy ms alkalmazott vagy. így viccesebb a véleményed.)
de komolyan azt gondolod, hogy ez az ember tud, akar pártatlan véleményt nyilvánítani? hogy kritizálja az MS biztonságát? mikor ő az egyik felelős azért? reggelente borotválkozás közben lehet, hogy köpködi a saját tükörképét, reggelinél meg felpofozza a gyerekét, mikor az kilöttyinti a kakaót, mert annyi elfojtott indulat, frusztráltság van benne a sok hazugság miatt.
tudod, olyan ez, mint pl. a BKV ellenőrök (vagy tkp. bárki, aki egy cég szolgálatába áll), akik lehülyézik az utasokat, kiabálnak velük, rángatják őket, mert éppen bliccel: mintha ezzel a cselekedetével személyesen sértette volna meg az ellenőrt, vagy annak családját.
valahova akarunk tartozni, ezért szinte automatikusan magunkénak érezzük a mögöttünk álló - állónak gondolt - nagyobb "erő" érdekeit, céljait, és akár a saját érdekeink, céljaink ellenére is hajlandóak vagyunk azért tevékenykedni, azt védeni. főleg ennyi pénzért.
az ms berkeken belülről lesz ehhez hasonló?
http://www.theregister.co.uk/2009/09/22/linus_torvalds_linux_bloated_huge/

_____________
烏邦土 - 乾屎橛

Semmi értelme minősíteni a Microsoftból azt, ha valaki kívülről elfogultsággal vádol. Cáfoljam? Minek? Ha a leírt gondolataim alapján elfogultsággal vagyon vádolható én, vagy bárki más, akkor felesleges. Ha meg valaki úgy gondolja, hogy a leírt gondolatok ellenére sem vagyok elfogult, akkor is felesleges. Megítélni magamat, a munkatársaimat vagy a cégemet nem az én dolgom. Ezért írtam, hogy "ebben a tekintetben nem mondhatok semmit."

Jeff Jones elég sokat és elég alaposan írt. Ezek az anyagok nem egy-két óra alatt készültek: alaposan körüljárt - és ismertetett - módszertannal, nyilvános adatokkal, bárki által ellenőrizhető módón.
Egy értelmes vitát kezdeményezett: ha nem jó, amit írt, akkor hasonló alapossággal mondja el bárki, hogy miért nem. Mit kellene másképp csinálni a Microsoftnak a biztonság területén, hogyan kellene azt a tevékenységet mérni. (Ez egy nagyon lényeges pont: belülről látom, hogy a Microsoftban az ég egy adta világon mindent mérnek. Azért, mert ha megmértél valamit, akkor egyrészt kezelheted (manage), másrészt versenyezhetsz. Amíg viszont valamit nem tudsz megmérni, addig összehasonlítani sem igazán tudod.)

Hidd el, ha lenne komoly ellenérv - valódi vitában, valódi érvekkel - akkor az olyan cégek, amelyeknek
erre pénze és erőforrása van (Apple, Google, Sun, Symantec stb.) ezt megtették volna.
Én azt látom, amit trey pontosan leírt "elemzéseinek alapjait az évek során többen is megkérdőjelezték". Vagyis: egy-két blogbejegyzésben úgy reagáltak, hogy "szerintem meg nem". Ha volt építő kirtika, annak hatása is volt: a Vista egy éves elemzése egy olyan tanulmány, amelynek volt két vagy három előzménye is. Ha átfutod az anyagot, láthatod, hogy számos olyan statisztikával bővült, amelyet az előzőkből hiányoltak a vitában részt vevők. És az egésznek itt van értelme: szörnyülködés, megbotránkozás, felháborodás helyett, józan érvelés, vita. És persze a helyzet pontos megismerése.

Hidd el, nem várom én senkitől, hogy azt gondolja, a Microsoft, vagy bármi, ami hozzá köthető, a dolgok netovábbja. De mivel a téma szempontjából egy érdekes helyen dolgozom, úgy gondoltam hasznosan tudok véleményt formálni azzal, hogy a témába vágó cikkeket, tanulmányokat idézem. Rosszul tettem volna? Ha véleményünk van valamiről (most épp az MS-ről), akkor sohasem árt, ha többet tudunk róla.

Üdv:
Lepenye Tamás

Általánosságban:

Furcsa szűkőkkel működik az emberi elme: a vélekedését erősítő információkat magához engedi, a vélekedését gyengítő információkat pedig kiszűri. Ez mindegyikünkre igaz, rád is, rám is. Úgy hívják ezt, hogy "percepció". A percepció szükségszerűen torzítja mindenkinek a látásmódját. A tiédet is, az enyémet is. Sokoldalú tájékozódással lehet a torzítás ellen küzdeni. Legalábbis a magam részéről én ezt teszem. És ilyet olvastam például:

"Sellem said that BugSec, a penetration testing and security firm in Rishon LeZion, Israel, reported the vulnerability to Microsoft on Aug. 26, not in September as Microsoft indicated. And he was critical of Microsoft for taking this long to release a patch. "I think yes, it took too long," he said. "But Microsoft is a big organization and we don't know how much time it takes them. We asked them why it was taking such a long time, and they said it was because of the testing they had to do."

Andrew Storms, director of security operations at nCircle Network Security, said the fact that Microsoft knew of the vulnerability months before it crafted a patch -- months before Chinese criminals used the flaw -- shouldn't come as a shock.

"It's pretty par for the course, really," said Storms. "We know that patches sit for a good month or so in QA [quality assurance] at Microsoft. So if it was reported to Microsoft in September, it might not have been added to the [patch] cycle until October, and the code not written until November. A February release isn't crazy then."

Storms refused to use hindsight to say that Microsoft was tardy to the party. "Unless you have real evidence that it's being used, you can't take that into account when you prioritize patches," he argued. "You take into account the skill level necessary to exploit it. But if it's responsibly disclosed, you have to assume that it's not going to release [publicly]. And without partners saying that they're seeing signs of it being exploited, Microsoft probably thought they could just roll it into their normal IE release cycle."

Itt olvastam: http://www.csoonline.com/article/521467/Microsoft_Patches_IE_Admits_it_Knew_of_Bug_Last_August?page=1

Üdv:
Lepenye Tamás

Kicsit próbálod a percepciót összemosni a prekoncepcióval. Ugyanis az utóbbinál az ember nem törekedik arra, hogy az objektív igazságokat felkutassa és alkalmazza, vagy hogy a többféle nézőpontot is próbálja objektíven figyelembe venni.
Most egy kicsit magammal szemben beszélek, ha azt mondom, hogy én sem olvastam el, amit bemásoltál azt is csak átfutottam, mert erre nekem nincs időm (most). Egyébként érdekel, és meg is értem, hogy időbe kerül.
Amit nem tudok elfogadni, hogy kb fél év a javítás és tesztelés. Erre a MSnél egy magyarázat lehet: a prioritása alacsony. Márpedig, ha az, akkor - most megismerve a kihasználás lehetőségeit - valahogy nem igazán a felhasználók millióinak rendkívül fontos biztonsági érdekeit teszik előre a sorban.
Nem túl szubjektív nézőpont, ha a barátod meghal veserákban, majd kiderül, hogy 2 éve van már gyógyszer, csak tesztelik. De legyen 5 vagy 10 év, úgy reálisabb a fél évhez hasonlítani.

Na jó válaszolok is rá...
Tulajdonképpen értek én sokmindent, pl azt is, hogy miért NEM jó javítani egy mások által nem ismert hibát, hiszen a javítás érkeztével a javított rész alapján (visszafejtésével - különbség) ki lehet találni, hogy hogy lehetett volna azt kihasználni. Így maga a javító cég adja ki az exploitot - közvetve. A nem frissített rendszereken pedig még használható. Nyilván ezért adnak ki egyben több javítást, hogy minél nagyobb legyen a változási halmaz, annál jobban elvesznek a részletek.
De fél év... és ilyen komolyan kihasználható esetben... WORD!! EXCEL!!!

A percepció és prekoncepció között nagy a különbség.
A percepció érzésekből összegződő látásmód ismert, vagy ismertnek vélt dolgokról. A prekoncepció ismeretlen dolgokról való vélemény. A percepció egy természetes dolog, nem lehet tőle szabadulni, legfeljebb a torzításain finomítan. A prekoncepció elkerülhető.
A prekoncepció a percepcióból táplálkozik.

Szerintem nem mostam össze.

Üdv:
Lepenye Tamás

Éppen ezért fogalmaztam pontosan úgy, hogy "összemosni", és nem azt, hogy összetéveszteni vagy összekeverni... érted? Tudom mi a percepció, viszont szerintem le kéne szarnia itt mindenkinek, mert nem érdekel ez senkit. Ne erről írjál.
A szarra válaszolsz, a lényegi problémát leszarod.

Mindenek előtt arra kérlek, hogy ilyen hangot ne üss meg.

Két mondatodra nem reagáltam eddig. Ezek:

1. Amit nem tudok elfogadni, hogy kb fél év a javítás és tesztelés. Erre a MSnél egy magyarázat lehet: a prioritása alacsony. Márpedig, ha az, akkor - most megismerve a kihasználás lehetőségeit - valahogy nem igazán a felhasználók millióinak rendkívül fontos biztonsági érdekeit teszik előre a sorban.

2. Tulajdonképpen értek én sokmindent, pl azt is, hogy miért NEM jó javítani egy mások által nem ismert hibát, hiszen a javítás érkeztével a javított rész alapján (visszafejtésével - különbség) ki lehet találni, hogy hogy lehetett volna azt kihasználni. Így maga a javító cég adja ki az exploitot - közvetve. A nem frissített rendszereken pedig még használható. Nyilván ezért adnak ki egyben több javítást, hogy minél nagyobb legyen a változási halmaz, annál jobban elvesznek a részletek.
De fél év... és ilyen komolyan kihasználható esetben... WORD!! EXCEL!!!

Először a fél év javításról:
Megint csak Jeff Jones cikke: http://blogs.csoonline.com/days_of_risk_in_2006 Amit ír, vagy következtet, ha akarod, nem kell elfogadni. Viszont ami tagadhatalan, az a következő:

1. Van olyan, hogy "days of risk" más gyártóknál is.
2. (Feltéve, de nem megengedve, hogy a Microsoft adatok nem korrektek), azt nem tagadja senki, hogy a nyílt forráskódú termékekről származó információ szintén nyilvános adatbázisokból származik. Ezek alapján viszont az mondható, fejlesztési filozófiától függetlenül előfordulhat, hogy egy biztonsági hibát nem javítanak ki (elég korán).

Felmenti ez a Microsoftot? Nem, nem menti fel, de mindenesetre a helyzetre magyarázatot ad. Ma a világ szoftverfejlesztése olyan, hogy 1. Keletkeznek biztonsági rések. 2. Ezek kijavítása ismertté válásuktól kezdve időt vesz igénybe. 3. Az sem lehetetlen, hogy ez akár hosszú hónapokig tart.

Erre mondhatod, hogy "bocs, de a Firefox körül nincs ilyen hírverés, a Microsoft körül pedig állandóan van". Ez igaz. Viszont:

1. A Microsoft penetrációja jóval nagyobb, tehát egy-egy hiba súlyosabban érinti az informatika világát.
2. A Microsoft hibái, lévén, hogy a legjelentősebb szoftvergyártóról van szó, nagyobb szenzációt is jelentenek. Mi a hírértéke a másodikat támadni? És mi a hírértéke az elsőt támadni? Hozzáteszem: a Microsoft felelőssége is ehhez mérhető.
3. A Microsoftnak főleg olyan termékei kerülnek a biztonsági hírek élére, amelyeket még a kilencvenes években terveztek és 2002 előtt megjelentettek (2000/XP/IE6). Ha újabb termékek is belekerülnek a szórásba, a hibáról többnyire kiderül, hogy még a legkorábbi verziókban is előfordul (tipikusan IE6-7-8; XP-Vista-Win7) Egy kezeden meg tudod számolni azokat a biztonsági hibákat, amelyek pl. a Vistában benne vannak, de az XP-ben nem, vagyis a "Secure by design" előírások után keletkeztek a Microsoftnál. Ez megint csak nem vígasztal - lehet, hogy nem is érdekel - senkit, viszont jelzi, hogy az ilyen hírek idővel csökkennek majd.

Elhallgatás, sunnyogás, stb.:
A Microsoft 2008-ben elindított három kezdeményezést is.
- Exploitability Index
- Microsoft Active Protections Program (MAPP)
- Microsoft Vulnerability Research (MSVR)

Mindegyik izgalmas dolog, de a beszélgetésünk szempontjából a második az érdekes. Ennek az a lényege, hogy a programban részt vevő biztonsági cégek számára a Microsoft előzetesen kiküldi a sérülékenység leírását. Egy IDS/IPS szoftver gyártó vállalat ezáltal még azelőtt elkészítheti a saját védelmi mechanizmusát, mielőtt a biztonsági javítás megjelenik. A dolog jelentőségét nem lehet alábecsülni. Így ugyanis azok a cégek, amelyeknek a változáskezelése lassú (értsd: sokáig tart, amíg telepítik a frissítéseket), védekezhetnek a hálózati rétegben pl. egy Symantec IPS frissüléssel.
Az három kezdeményezéssel kapcsolatos további információk: http://www.microsoft.com/downloads/details.aspx?FamilyID=db611a07-9454-4daf-b799-0843625b7b60&displaylang=en

Érdemes a SIR lapozgatása is. A 152. oldalon például azt lehet látni, hogy a sérülékenységek 79,5%-át közvetlenül a Microsoftnak jelentették, 10,5%-át pedig úgy vett meg a Microsoft sérülékenység-brókerektől.

Még néhány dolog:

Hogyan reagál a Microsoft egy biztonsági incidensre: http://www.microsoft.com/security/msrc/whatwedo/responding.aspx

Hogyan működik együtt a Microsoft másokkal?
http://www.microsoft.com/security/msrc/collaboration/ecostrat.aspx
http://www.microsoft.com/presspass/events/blackhat/docs/MSVRFS.doc
http://blogs.technet.com/ecostrat/default.aspx
http://blogs.technet.com/ecostrat/archive/2009/12/11/bluehat-v9-recorded-content-live.aspx

Kik azok az emberek, akik az MSRC-ben dolgoznak? http://channel9.msdn.com/posts/TheChannel9Team/Stephen-Toulouse-Tour-around-Microsofts-Security-Response-Center/
Milyen módszertan alapján fejlesztjük a szoftvereinket a biztonság szempontjából? http://msdn.microsoft.com/en-us/library/ms995349.aspx

---------------------------------------------------------------

Akkor most minden rendben van? Nem, nincs. De hogy a Microsoft elhanyagolná a biztonság kérdését, azt senki nem állíthatja, és hozzáértők nem is állítják. Van viszont egy dolog, amit meg kell oldani. Vannak emberek, akiknek kevés az ideje, híreket még csak-csak olvasnak, tanulmányokat már kevésbé. A hírekből a szenzációk jutnak el hozzájuk. Ha folyamatosan negatív szenzációkat hallanak a Microsoftról a biztonság területén, akkor szép lassan felépül bennük egy negatív látásmód. A magam részéről ezt próbálom eloszlatni. És az eredmény nem biztos, hogy az lesz, hogy "most már bízom a Microsoftban". Számomra az eredmény az lenne, ha valaki azt mondaná, "most már ismerem a Microsoftot, alaposan, hideg fejjel körüljártam a témát. Kiegyensúlyozott vélenyek formálták a gondolataimat és ezek alapján építettem fel a saját meggyőződésemet. Megnéztem pro-t és kontrát, túlléptem a saját érzelmeimen." - Ennyit szeretnék.

És most tényleg a végére: a Microsoft nem egy ködös cég, megfoghatatlan emberekkel. Hús és vér emberek vagyunk, akikhez lehet fordulni. Egy arctalan céget könnyű utálni. De ha megiszol velem egy sört, akkor már másképp lesz. Remélem, egyszer megteszed ;-)

Üdv:
Lepenye Tamás

Igazad van, ha magadra vetted a "hangnemet", akkor tényleg nem kellett volna. De hidd el, nem személyesen neked szántam. De bosszantó, ha a felvetett 6-7 dologgal kapcsolatosan - mondjuk - , amiben a p betűs is bent van, egyedül a p betűsre reagálsz, ami egy ilyen szakmai fórumon kb. egyenlő a mellébeszéléssel, mivel kb. 0 érdekessége, fontossága van, mindeközben a lényegi-, nemhogy lényegi, hanem "az egyáltalán kicsit is érdekes" részekkel kapcsolatban csönd van.
Nekem a többféle jelző közül az sz betűsök tűntek a legmegfelelőbbnek, hogy pontosan írjam le a gondolataimat azokkal kapcsolatban.
De hadd írjam le még egyszer, világosan: NEM sértegetni akartalak, az sz betűsöket SEMMILYEN formában NEM rád értettem.

Mellesleg félre ne értsd: én nem gyűlölöm a MSot, sem az ott dolgozókat, és szerintem nem sok ember tekinti a MSt ködös cégnek, ami mögött nem látják a hús vér embereket. Tulajdonképpen inkább azt lehet mondani, bármilyen ellentmondásos is, hogy én szeretem a MS-ot, igaz régebben jobban szerettem, a tendencia negatív. Amit nem szeretek, azok kifejezetten konkrét dolgok, amiket én negatívnak ítélek meg. Ezek közül egy a fenti. És magyarázni lehet, de vannak bizonyos határok, amiken túllépve már nem érdemes magyarázkodni. Ilyen pl. ebben az esetben a fél év. Mert ha megmagyarázod, hogy az rendben van, akkor azt is meg fogod, ha 2-3 év lenne (amire ugye volt már példa), ugyanezeket a dolgokat ctrl-c ctrl-v-vel bemásolva.
Végül voltam elég sok MS konferencián - hazain-külföldin - voltak ismerőseim/barátaim akik nálatok dolgoznak/tak. Szóval nem biztos, hogy az elfogultságot megfontolás nélkül rám lehetne aggatni.
Lehet, hogy inkább figyelni kellene az itteni véleményekre, hátha javíthatna a MS a romló megítélésén.

Rólad nem láttam képet (azon az egy oldalon, ahol néztem), de Kocsis Attila kollégád nagyon szimpatikusan mosolyog a képen :-)

A sörözés különféle okok miatt nem fog összejönni, de azért nagyon köszönöm :-)

Azt nem tudhatod, hogy mikről tudnak még, amikhez képest ennek a lyuknak a prioritása alacsony :)

Ide válaszolok, bár nem a konkrét blogbejegyzésre reagálok.

Szerintem nem is nagyon van értelme ezeknek az összehasonlításoknak, mert az open és closedsource fejlesztések, a fejlesztési módszerből adódóan, a hibajavításokat is eltérően oldja meg.

Ha valaki felfedez egy hibát, azt valamilyen módon a fejlesztők tudtára kell adni.

Ha egy cég fejleszti a szoftvert (függetlenül attól hogy nyílt vagy zárt forráskódút), megvan a megfelelő, nyilvánosságot kizáró kommunikáció lehetősége, így nem kell attól tartani, hogy a hiba bejelentése egyben a hiba nyilvánosságra jövetelét is jelenti. Ekkor, ideális esetben elkezdi a cég javítani a hibát, majd bekerül a hiba javítása egy repoba.

Ebben a pillanatban, ha a repo nyílt, a hiba javítása nyilvánosságra került, azaz lényegében maga a hiba is. Ezért a fejlesztő érdeke, hogy minél hamarabb kiadja a javítást, nincs lehetőség hosszabb tesztelésre, persze gyorstesztek elvégzésére még van lehetőség. Kénytelen megbízni a hibát javító fejlesztő előzetes tesztelésében. Persze ha a repo cégen belüli zárt repo, akkor megteheti azt, amit a zárt forrású szoftverfejlesztő cég tesz.

Ha a szoftver zárt, a repohoz úgyis csak a fejlesztők férnek hozzá, tehát le lehet tesztelni a javítást, hogy az biztosan nem rontott el más funkciókat, biztosan nem nyitott egy újabb biztonsági hibát, és biztosan foltozza-e a hibát. Amíg a hiba felfedezője nem hozza nyilvánosságra a sebezhetőséget, a cég ráér a javítás kiadásával. Ahogy a fenti cikk is írja, az ms a februári patch kedden kiadta volna a javítást, és csak azért javított végül soron kívül, mert nyilvánosságra került a sebezhetőség.

Ha nem cég fejleszti a szoftvert, nem biztos, hogy van a nyilvánosságot kizáró kommunikációs lehetőség. Például könnyen lehet, hogy a fejlesztő(ke)t csak nyilvános levelezési listán, fórumban lehet elérni. Ekkor a hiba bejelentésével a hiba is nyilvánosságra kerül, tehát a fejlesztőknek még annyi ideje sincs, mint a céges opensource fejlesztés esetében. Azaz a fejlesztők nekiesnek a kódnak, és amint megjelenik az első javítás, és megbizonyosodtak róla, hogy az jó, azonnal kiadják a frissítést. Ha a hibajavítás a szoftver bizonyos funkcióit használhatatlanná teszi, akkor is, mert senki nem tesztelte a frissítés kiadása előtt, hogy az nem ront-e el valamit. Ekkor jöhet az, hogy a hibajavítás hibáját kijavítják, ekkor már van idő tesztelésre, és így a következő frissítés minden problémát megold.

Persze a fent vázolt "esetek" nem feltétlenül fedik a valóságot, ez csak az én elméletem. :)

Imádom ezt a céget :-D

Ballmer is, csak o maskepp. "I love this company, yeah!"

--
"Apple have scrapped their plans for releasing Childrens iTouch after realision the iTouch Kids was not a good product name." - sickipedia

emlékezzünk együtt, hogyan örül egy ember a sok pénzének, amit más emberek átb*szásából szerez :):):) hogy roh*dna meg

pardon.

--
irj egy e-mailt, ha itt barmi hibat talalsz. ^ ^

lol :)

Mindig elgondolkozom, mikor ezt látom, hogy mi történhetett a színpadra lépés előtt.
A medical team három órán át kondicionálta a verézirgazgató urat, hogy 76,8%-ról lecsökkentsék 13,21%-ra a szívroham kockázatát, és kötöttek egy milliárd dolláros életbiztosítást, amely halál esetén üzemi balesetnek minősítette volna az eseményt, a Ballmer családnak azonnali pénzbeli és egyéb juttatásokat biztosítva, velük pedig aláíratva, hogy cserébe nem lépnek fel semmilyen követeléssel a Microsofttal szemben.


suckIT szopás minden nap! Ubuntu in action

Azt nem tudom, viszont azt igen, hogy az esemény egy belső konferencia volt, és nem szerencsés "kiragadni a szövegösszefüggésből". Személyesen nem voltam ott, (akkor még nem is dolgoztam a Microsoftnál), viszont utána valami ehhez hasonló következhetett:
http://lepenyet.spaces.live.com/blog/cns!8A601C211789FCC8!2177.entry

Üdv:
Lepenye Tamás

"Azt nem tudom, viszont azt igen, hogy az esemény egy belső konferencia volt, és nem szerencsés "kiragadni a szövegösszefüggésből"."

Ezt most nem nagyon értem, mit számít az, hogy utána mit mondott, mit számít az, hogy ez egy nyílt vagy egy belsős konferencia volt? Úgy ugrált ott, mint egy majom, tudta, hogy veszik kamerákkal, tudta, hogy egy ilyen 5 perc múlva már neten lesz. Tudom, hogy ő a legfőbb kenyéradód, de nem hinném, hogy védelemre vagy magyarázatra szorul, ami ott látható

Ugy van. Sem magyarázatra, sem védelemre nem szorul. A körülmények ismerete azonban hasznos.

Üdv:
Lepenye Tamás

Azt meg hozzateszem hogy mindenkinek mas a stilusa; en szemely szerint inkabb ot nezem mint egy fasult eloadast a marketingszamokrol, meg akkor is, ha egy ugralo majom a stilusa :-) Nyilvan nem azert tart ott ahol tart, mert valoban egy ugralo majom.

erdekes lenne megtudni miert vart honapokat egy ilyen sulyos hiba kijavitasaval.
logikailag 3 lehetseges eset van:

1. keptelenek voltak megcsinalni
2. kepesek lettek volna, de szartak ra nagyivben
3. szandekosan nem javitottak, mert szukseguk volt az ugyfeleik feltorheto gepeire

--
Live free, or I f'ing kill you.

4. A javitas esetleg nem volt trivialis es tobb alrendszert is erintett, ami miatt at kellett tolni jo sok belso processzen es tesztelesen, igy idobe kerult a javitas... attol hogy 400 embert dobsz egy feladatra, nem fog 1/400-ad ideig tartani :-)

szerk:
"The flaw was in the Microsoft Security Response Center's (MSRC) queue to be fixed in the the next batch of patches due in February..."
Szoval nem muszaj mindenhol osszeeskuvest keresni :-)

5. Olyan súlyos volt a hiba, hogy úgy gondolták, jobb ha sunyiban javítják.

A böngésző piacon verseny van és nem merték szétkürtölni, hogy egyenlőre ne használj exporert, mert az rossz reklám lett volna.

Persze, miután az ügy kiderült, a lehetséges legrosszabb reklámot érték el, ha informáltak volna mindenkit, a baj kisebb lett volna.

Javits ki ha tevedek, de sztem a ket eset abszolut nem zarja ki egymast, sot :-)

"A javitas esetleg nem volt trivialis es tobb alrendszert is erintett, ami miatt at kellett tolni jo sok belso processzen es tesztelesen, igy idobe kerult a javitas.."

Ez esetben is elvárható egy kereskedelmi rendszert szállító vállalattól az ügyfelek felé az előzetes figyelmeztető - attól a pillanattól kezdve, hogy a megerősítették a súlyos hiba létezését -, illetve a sebezhetőség enyhítésére meghozható intézkedések leírása egy pre bulletin formájában. De mivel szeptember óta ez sem történt meg, a sunnyogás gyanúja alapos.

Ha megtették volna, akkor kisebb lett volna a kockázata annak, hogy vezető amerikai vállalatok ilyen helyzetbe kerüljenek. Már akkor javasolni kellett volna azokat a mitigation dolgokat, amelyeket az 0day bejelentése és a soron kívüli patch kiadása közben oly sokat hangoztattak (váltson mindenki IE8-ra, milyen jó a DEP és társai).

--
trey @ gépház

"A javitas esetleg nem volt trivialis es tobb alrendszert is erintett, ami miatt at kellett tolni jo sok belso processzen es tesztelesen, igy idobe kerult a javitas..."

Hja, igazad van, bizonyítja ezt az is, hogy a patch kedd helyett soronkívüli javítás jött rá...

Szvsz annyi bugot tartalmaznak a Microsoft által készített szoftverek, hogy nincs erőforrásuk patchelgetni és amíg lehet, lapítanak, mint az a bizonyos tányérakna a fűben, ténylegesen meg csak akkor lépnek valamit, ha már ömlik a vödörből a manna...

-------------------------
Trust is a weakness...

Biztosan 2 nap alatt javitanak, tesztelnek es tolnak at egy hibat az egesz proceduran, mi ? Most hogy kiderult gyorsan osszecsaptak. Nem tunik eletszagunak. Ez inkabb pont azt sejteti, amit irtam. Nem bizonyitani akartam egyebkent sem, csak ravilagitani, hogy ha a rosszindulatot mellozod, akkor is lehet ertelmes magyarazatot talalni. Nem akarlak meggyozni, a te dolgod mit hiszel.

A sunnyogasrol treynek (mert a ketto kapcsolodik): nem ismerem az ideavago gyakorlatat a cegnek, ergo nem is ervnek szanom; mindazonaltal el tudom kepzelni hogy egy sebezhetoseg riportolasa utan nem biztos hogy a legjobb otlet azonnal szetkurtolni, meg ha nagy vevokrol is van szo. Plane akkor, amikor meg azt sem tudod mire van kihatasa es vajon mennyi ido lesz javitani. Minel kevesebben tudnak rola, annal kisebb az eselye hogy a javitas ideje alatt beprobalkoznak vele. Ez most nem jott be. Biztosan volt olyan is, amikor ez bejott.

nem a szétkörtülésről van szó, hanem a javításról. csendben is javíthatták volna ha akarják, nem? vagy most azt mondod hogy azért kellene eltitkolniuk javítás nélkül, hogy hátha nem derül ki és így kisebb az esély arra hogy nehogy kihasználják a nem frissített rendszereken a hibát? :)

nehéz lehet ennyire félreérteni amit írt

szerintem átfogalmazta, vagy én vagyok fáradt. lényeg hogy szerintem szétkürtölni semmikor sem kell, főleg nem javítás előtt. javítsák ki, aztán be lehet jelenteni a patch-el együtt (amivel már elkéstek ugye). :) de nem akarok szavakon lovagolni.

Csendben nem lehet javítani.

Valamivel motiválni kell a usereket, hogy frissítsék az Explorert.

Ha azt mondod, hogy mindenki frissítsen Billy születésnapja alkalmából Internet Explorer-t, semmi nem fog történni.

Komoly magyarázat kell a legtöbb cégnél, hogy frissítsenek.

az auto update-en keresztül miért nem jó? miért kellene manuális frissítés?

Nem ösmerem a Microsoft belső szervezését, azt gondolom, van egy külön csoportjuk a sürgős patchek elkészítésére - nem ez az első soron kívüli hibajavításuk, nyilván nem is az utolsó. A létezésük viszont valószínűsíti, hogya sürgős javítások nem azt a procedúrát járják be, mint a többi.

A rosszindulatról annyit, hogy nem egyszer és nem kétszer bizonyosodott be, hogy a redmondi cég képtelen biztonságos és erőforrás-igénytelen szoftvereket írni, igen gyakran nyúl a FUD-hoz, ráadásul nem javít olyan kritikus hibákat, amelyekről elég régóta tud. Jah, azt kifelejtettem a sorból, amit a FAT fájlrendszerrel művelt a hordozható eszközök esetében, vagy amit a Windows- és Office-licencekkel pl. netkávézók esetén.

Szétkürtölés: majdnem napra pontosan 7 évvel ezelőt indult útjára az SQL Slammer nevű féreg, 10 perc alatt 75 ezer gépet fertőzött meg (forrás: itcafe.hu); a terjedés korai szakaszában a Symantec detektálta ugyan a tevékenységet, de a legnagyobb vásárlóin kívül senkit nem informált, sem a vírusriasztási szintet nem emelte. Ennek következményeképpen az egész világon lelassult a telekommunikációs és informatikai infrastruktúra, Dél-Koreában 2 napig sem internet, sem telefon nem volt - ha jól rémlik.
Ezek alapján én azt mondom, hogy nem szétkürtölni egy hibát felelőtlenség minimum. Nyilván nem önmagában kell ezt megtenni, hanem, workaroundot vagy patchet mellékelni hozzá.

-------------------------
Trust is a weakness...

Szerintem a Microsoft hálás a slammer írójának, mert azóta beindult egy folyamat a Microsoftnál, és mára ott tartanak, hogy a legbiztonságosabb szoftvereket ők írják.

Ha már SQL Server, akkor hadd emlékeztessek mindenkit, hogy a legmegbízhatóbb, értsd leg kevesebb bitonsági rést tartalmazó adatbázisszerver a Microsoft SQL Server.

Az Oracel a legbugosabb,
őket követi a MySQL,
aztán az IBM DB2-je.

És természetesen meg lehet említeni az operációs rendszereket is.

Pl. a 2008-as ébvben a legbufgosabb oprendszer a Mac OS X volt.
Ezt követte a LINUX KERNEL,
a 3. a sorban a Solaris,
és lemaradt a dobogós helyekről a Windows XP, és a Vista...

Én személy szerint nagyon örülök neki , hogy 2004 tájékán megrázta magát a Microsoft, és azóta prioritással kezelik a biztonságos szoftverkészítést.

A nehezebb felfogásúaknak: hibátlan szoftvert nem lehet előállítani; az eccerű számológépprogram most nem jáccik.

Az viszont jól láccik, hogy a masszív hívők körében még elég erős az a hit, hogy a Mac OS az a legjobb, a Linux kernel meg maga a csoda, és a Microsoft meg a csúnya cukrosbácsi, aki megfertőzi és nyomorba dönti a világot. :)

Igazad lehet, minden nagyobb vírusfertőzésről a MacOS, meg a Linux tehet... Látom, a Microsoft-féle marketing hatott rád; nem az az elsődleges szempont, hogy egy rendszerben hány bug van, hanem azok besorolás szerinti megoszlása.

Ahhoz meg nem kell masszív hívőnek lenni, hogy valaki belássa: az egyik rendszerrel nagyon sok baj van, erőforrás-zabáló, drága, tesz a szabványokra magasról és magához köt, míg a másiknál bármilyen gondomra találok azonnal 3, egymással egyenértékű megoldást, nem tekinti a saját homokozójának a rendelkezésére bocsátott erőforrásokat, nincs tárva-nyitva a rendszer, hogy akinek kedve szottyan rá, "beugorjon egy KV-ra", satöbbi satöbbi satöbbi.

Ha szerinted ehhez fanatikusnak kell lenni, kezeltesd magad.

-------------------------
Trust is a weakness...

Rózsaszín szemüvegen keresztül nézed a világod.

a hsz-ed lepenyet "Secure by design" fényében különösen jó.
"2004 tájékán megrázta magát a Microsoft">meg hát. ezért vannak még tucatszám felfedezett kritikus (távolról kihasználható) hibák a 7ben is, minimum a 2000SP4ig visszakövetve. korábbra csak azért nem, mert azokra már nem adnak javítást. mekkora az esélye, hogy ezek a hibák mind legalább 17 évesek, azaz minden nt-t érintenek. tehát a "Secure by design" egy teljes platformváltással megvalósulhatna, de amíg az előző kártyavár alapokra építik a következőket, az mindig labilis marad.

A meglátás helyes, de a kártyavár túlzás. Épp most végeztem egy cikkel, amelyben összegeztem a Hyper-V Server első hét hónapját - persze csak a magam kis amatőr eszközeivel. Ez alapján volt benne ezidáig 10 sérülékenység. Ezek 90% olyan, hogy a Windows 2000-től, vagy a Windows XP-től kezdve minden rendszer érintett volt. Vagyis, igen, el kell tűnnie a régi kódnak, amely nem "Secure by design". A jó hír, hogy azért a 10 sérülékenység nem a világ vége. Összehasonlítást nem végeztem, de rajta, bárki megteheti.

Villámstatisztikaként: A Windows 7-es gépemen 21 OS frissítés van, ebből 10 biztonsági. (A sérülékenységek számát persze control panelből nem látom)

Üdv:
Lepenye Tamás

Amikor egy kutya megrázza magát, azé az még vizes marad, továbbá hibátlan kódot akkor sem kap senki, amikor nulláról újraírja a renccert.

Ami elindult 2004 tájékán az pont a biztonságos kód készítése, és ennek része az is, hogy a meglévő kód minőségét javítsák. Sikerült is nekik; rendesen lemaradtak a dobogós helyekről. Azt viszont értem, hogy a linuxfanok ezt nem tuggyák megemészteni. Természetesen nem mondtam, hogy te linuxfan vagy, de akár lehetsz is; nem bánom.

Hibátlan kód egy bizonyos kódtömeg felett nincs. Sajnos van, aki ezt sem tudja felfogni, és itt is megjegyzem, hogy nem neked címzem ezt, csak úgy megjegyeztem.
Tehát nyilvánvaló, hogy a Windows telis tele van hibával.
Ami nem nyilvánvaló a linuxfanoknak, hogy a Linux még jobban tele van hibával, és egyre csak bugosabb és bugosabb lesz. Szegény Linus aggódik is emiatt rendesen.

Amúgy az Oracle programolóit tényleg el lehetne küldeni a Microsoftba kódolni tanulni.
(Az SQL Server az egyik legjobb terméke a Microsoftnak; minőségben is.)

A nulláról vagy az "alapoktól" való újraírás azért lényegesen különbözik (ha ezt a winre értetted) különben hogy tudnád pl. ezt értelmezni? http://nonstopuzlet.hu/kek-helyett-fekete-halal-a-windowsban-20091202.html

Azzal persze nem vitatkozom, hogy attól még nem kapunk hibátlan kódot, ha 0ról újraírva...

"Sikerült is nekik; rendesen lemaradtak a dobogós helyekről.", melyik dobogós helyekről is maradtak le? A vista qrva szar, de hogy lemaradt volna a dobogós helyekről? A win7 qrva jó (bár a játékokban katasztrófális 50-100% teljesítményelőny az xp részére... jobb ha tudjátok), de hogy lemaradt volna a dobogós helyekről??
Írd már meg légy szíves az elmúlt pár év dobogós helyezettjeit esetleg az első 6-ot, 7-et!

"Azt viszont értem, hogy a linuxfanok ezt nem tuggyák megemészteni. Természetesen nem mondtam, hogy te linuxfan vagy, de akár lehetsz is; nem bánom."

Tudom, ezeket sem nekem, hanem tomtyinak címezted, de ezt most honnan??? Valahogy ez a fröcsögés azt valószínűsíti, hogy a zsebedben egy ájfón fityeg és felettébb elégedett vagy vele. ;-)

"Tehát nyilvánvaló, hogy a Windows telis tele van hibával.
Ami nem nyilvánvaló a linuxfanoknak, hogy a Linux még jobban tele van hibával, és egyre csak bugosabb és bugosabb lesz. Szegény Linus aggódik is emiatt rendesen."

Nyilván minél több dolog van benne, annál több a hibalehetőség, minden bizonnyal a hiba is. Linus aggódik is, nyilván.
Az egyre csak bugosabb és bugosabb lesz, ahogy valószínűleg te érted, már egyszerűen fikció. Darabszámra kellene érteni őket? Vagy csak a súlyos hibákat számolni? Vagy valamilyen szempont szerint súlyozva őket? És szempontrendszerekből is lenne sokféle.
A hibák "keletkeznek" és a hibákat javítják. A kérdés, hogy a keletkezések üteme és a javítások üteme (persze súlyozva) hogyan alakul EGYMÁSHOZ képest. A probléma Linus szerint is gondolom az, hogy a nagyméretű kód + a bővülés mértékéhez jobb lenne több, a kódot karbantartó fejlesztő.
Neked van-e megfelelő információd dolgokról, mikor leírod, hogy "bugosabb és bugosabb lesz"?
Én azt állítom, hogy egy normál x86 gépen az elmúlt 10-15 évben borzalmasan sok és nagy változás volt a linux kernel és a linux disztribúciók esetében - folyamatosan, a használhatóság, stabilitás és a biztonság pedig folyamatosan jobb és jobb lett. Nem kicsit, nagyon. Volt néhány hullámvölgy. Javították.

És a végére hagytam az igazán gáz részt:
"Ami nem nyilvánvaló a linuxfanoknak, hogy a Linux még jobban tele van hibával"
mármint a windowshoz képest...
Nem tudom érted-e, mi köze ehhez, de az elfelejtettem a nevét, s betűs cég (ha jól emlékszem, jól tettem, hogy elfelejtettem, nem is érdemli meg, hogy eszembe jusson, vagy utánanézzek) amelyik a - fogalmazzunk úgy - "linuxot beperelte", pl. a ctype.h fileban található hasonlóságot nevezte meg a bizonyítékok egyikeként, és a többi is hasonló kaliberű volt. Bocs, lehet, hogy ez nem teljesen érthető, de nem írom le.
Te honnan veszed a bátorságot, hogy megmondd nekünk az tutit, hogy bármilyen idézet, hivatkozás nélkül kijelentsd? Mert balázska, tomika és pityuka is ezt mondta az oviban?
A bugok súlyát figyelembe vetted? Vagy hogy a diva2 isdn kártya NYÍLT forrású driverében 2010-ben kisebb hiba van? KIT ÉRDEKEL? Beleszámoltad a windows bugokba a nem ms által szállított (vagy igen) - de a gép működéséhez elengedhetetlen driverek hibáit is? Vagy hogy az xp-n a tartományba történő bejelentkezéskor a márnememlékszem kérjükvárjonvagymi ablak címsora az xp első verziójától a legfrissebb verziókig két részletben jelenik meg egy kisebb címsor takarja el a nagyobbat és kilóg a nagyobb címsorban levő szövegben az alapvonal alá lógó egyik betű alja?

A tomtyi hozzászólására való válasz kb ennyi lett volna jó:
"Amikor egy kutya megrázza magát, azé az még vizes marad.
Ami elindult 2004 tájékán az pont a biztonságos kód készítése, és ennek része az is, hogy a meglévő kód minőségét javítsák. Sikerült is nekik (?)
Hibátlan kód egy bizonyos kódtömeg felett nincs.
Tehát nyilvánvaló, hogy a Windows telis tele van hibával. Gazdag Sztív aggódik is emiatt rendesen.
A Linux is tele van hibával. Szegény Linus aggódik is emiatt rendesen.

Amúgy az Oracle programolóit tényleg el lehetne küldeni a Microsoftba kódolni tanulni.
(Szerintem az SQL Server az egyik legjobb terméke a Microsoftnak; minőségben is.)

Dobogó, amiről lemaradt az XP és a Vista:
2008 szitája: MacOS X
http://www.hwsw.hu/hirek/38012/ibm_x-force_biztonsagi_jelentes_sebezhetoseg_web_sql-injekcio.html

Egyre bugosabb a Linux kernel:
http://pcforum.hu/hirek/10192/Egyre+bugosabb+a+Linux+kernel.html

Ez baromság, hogy a "Vista szar", nem unalmas?

A szövegedben a legjobban ez a rész teccik: "Te honnan veszed a bátorságot, hogy megmondd nekünk az tutit..."

"nekünk a tutit", öhhh.
Hátakko bocsássá meg kispajtáss, hogy sörszagút böffentettem azarcodbaaa, ebben a kocsmábaaan.

Jahogy a lemaradt a dobogós helyek alatt Dzsoki bácsi azt a dobogót értette. Legalább ez is kiderült most...
Nekem ne hozd a macosxet példának... egy szót nem szóltam róla... az egy szita :-)
A vista szar... szép szar. Az lenne unalmas, ha azt írtam volna most, hogy "A már microsoft is elismeri, hogy szar", persze ilyent nem írnék.
Arról nem tehetek, hogy nem érted amit írtam, próbálom képekben:


Házi feladat, hogy mit jelent a critical és high, és mi módon kapcsolódik ahhoz amit korábban írtam le.

A többi meg le vagyon írva.

Hát ja, a tutit elég félve írtam le, mert elég szar, meg jó régen hallottam már ilyent, de hát mégiscsak ez volt a legjobb szó arra, amit írtál, akármennyit is gondolkoztam helyette máson.

A homeworköt nem is szeretem.

Nekkem akkor is az első grafikon teccik, a másodikat meg nem is tudom értelmezni, óvasni meg lusta vagyok mostanság. A Microsoft esetében mejjik op.renccert jelöli a grafikony? És a Linux esetében mit köll alatta érteni?

Csak röviden, mert lusta vagyok!

Ez alapján készült az általad idézett illetve belinkelt cikk. Kis felirat jobb alsó sarok: source: IBM X-Force. Szóval ne én magyarázzam már meg :-)
Ha röviden kell: az első a nem fontos grafikon, a második a fontos.
Kis segítség a házihoz:
itt

(Remélem nem jön a "mit jelent az, hogy "magas""? :-)

ertem, vagyis keptelenek voltak megcsinalni.
:)

--
Live free, or I f'ing kill you.

az egész világ ettől zeng már? :D

--
irj egy e-mailt, ha itt barmi hibat talalsz. ^ ^

Microsoft is very fast!

"get the facts"...

Gondoltam microsoft, meg iylenek szó nélkül hagyom, de ezt ki kell emelnem...:

"A Microsoft állítólag a februári patch kedden javította volna a biztonsági problémát, de mivel arra széles körben fény derült, kénytelen volt soron kívül javítani."

Szerintem ez marha nagy kamu... Valószínűleg nem akarták javítani, mert nem csak egy lemaradt kapcsos zárójelről van szó, hanem emberi hibáról, és nagy meló lehetett kijavítani. Meron Sellen jól tette a hírverést, mert így az életbe nem került volna sor a javításra.

OFF Engem ez az ígéret+magyarázkodás páros emlékeztet a mai politikai helyzetre... ON

Ja még erről:

"megkezdődött a bug széleskörű kihasználása"

Mér ne kezdték volna el... ebből most megélnek a feltörögetős cracker, illetve black hat hackerek egy darabig. Ugyanis az emberek többsége nem tudja (lesz@rja) hogy hogy megy a gépe, plusz azt sem tudja mi ez az egész, nem hallotta a híradóban, és különben is... Szerintem ezt a hibát (főleg a lopott és így nem frissített windowsok miatt) még nagyon sokáig ki lehet használni. Nagyon sokáig. Hiszen még a seven-ben is ez a hibás böngésző van. Pedig annak mindenki hosszú életet jósolt. Ja meg azt mondja az ms h az ie8 az biztonságosabb, de akárhány helyen néztem mindenhol az van h abba is benne van ez a hiba. Most akkor ki téved (hazudik)? Nagyon jó lenne már ezt a céget seggberúgni, h szedje össze magát vagy vonuljon ki a piacról, mert az gáz hogy egy biztonsági ementáli sajtot gyártanak. Rengeteg lóvéért. Nem értem az embereket hogy ennyire ragaszkodnak egy sz@rhoz, de ha a kocsiban csörög valami, akkor minnyá a szerelőhöz rohannak, vagy minnél hamarabb megszabadulnak tőle... A vállakozásának levelei, adatai, jelszavai azok nem olyan fontosak h azért megtegye a szükséges lépéseket?

Foglalkozgatok ilyen mellékesbe hobbi szinten kissebb vállalatok szervereivel, és volt egy cég akik azt mondták h nekik kezd nem menni a win server2003, mondom akkor felteszek helyette linuxot, mert úgyis lejár a licence róla... Neem, mert már minnyá megy a kollega, és megveszi... mondom nekem nem fáradtság, és mondom élvezetből teszem, ergó féláron van... ez sem győztem meg, úgyhogy viszza kellett tenni a server2003-at. Nem rég hívott, h olvasta h valami van a windows-al, és h ez nekik baj-e, mondom az... de előre szóltam. Tudom h nem ,de azért ráhoztam a frászt hogy legközelebb linux servert akarjon... Szemét vagyok? :D

Visszakanyarodva az eredeti témához, az az igazság hogy szerintem ahhoz képest hogy mióta tudják, valahogy elkészülési határidőben robban hatott ki a botrány, mert viszonylag hamar készültek el.. A fél évhez képest...

(bocs h novella lett)

itt még magadnak is ellentmondasz, hiszen azt állítod az elején, hogy tuti kamu a februári hibajavításkor a frissítés, a végén meg elismered, hogy ezt a hibát nem lehet 1 hét alatt megfoltozni...

Az MS az eddigi infók alapján februárra időzítette a foltot, de mivel korábban megszületett az exploit ezért éjszakáztak és két héttel korábban kiadták soron kívül...

B10

"ezért éjszakáztak és két héttel korábban kiadták soron kívül..."

Elmorzsoltam egy könnycseppet :DD

--
trey @ gépház

Ok is csak emberek :-)

"Az MS az eddigi infók alapján februárra időzítette a foltot, de mivel korábban megszületett az exploit ezért éjszakáztak és két héttel korábban kiadták soron kívül..."

Na valószínűleg ekkor került előre a sorban, hogy "na vazzeg, foglalkozni kéne má' ezzel is".