Biztonsági cég hívta fel a figyelmet a Microsoft titkos javításaira

Microsoft, Windows

A Core Security azt állítja, hogy a Microsoft titokban patchelt meg három sebezhetőséget a múlt hónapban. A három sebezhetőség közül kettő a redmondi cég vállalati levelező- és csoportmunka szerverét, a Microsoft Exchange-t érintette. Ivan Arce, a Core Security műszaki igazgatója azt állítja, hogy a Microsoft javította a hibákat, de elmulasztotta közölni ennek tényét.

A biztonsági cég azért tartja aggályosnak a Microsoft eljárását, mert szerintük az információk hiányában a rendszeradminisztrátorok rossz döntést hozhatnak, amikor afelől döntenek, hogy az adott frissítést telepítsék-e vagy sem. A Microsoft elismerte, hogy a házon belül talált bugokat a részletek közlése nélkül javítja, de megvédte ezt a gyakorlatát.

Jerry Bryant, a Microsoft biztonsági igazgatója elmondta, hogy mikor egy biztonsági hibát felfedeznek, akkor széleskörűen kivizsgálják a problémát és javítanak minden, a kódban talált egyéb hibát. Ez lehetővé teszi, hogy az ügyfeleknek kevesebb frissítést kelljen telepíteniük, hiszen a frissítések telepítése kiesésekkel járhat az ügyfél informatikai környezetében.

A Core Security weboldalán közölte a titokban javított sebezhetőségek leírását.

A részletek itt.

( prygme | 2010. 05. 10., h – 12:59 )

a "lusta rendszergazdák" védelmében imho van ráció a Microsoft álláspontjában.

( BaT | 2010. 05. 10., h – 14:49 )

Van rajta sapka?

Szerk: Na nem mintha nem lenne igaza a biztonsági cégnek, csak ne felejtsük el, hogy ez nem a Microsoft találmánya. Opensource projectekben is megesik időnként, és pont ugyanannyira kifogásolható azokban az esetekben is, mint most.

Ugyanakkor bizonyos szempontból érthető ez a magatartás, ha házon belül fedezik fel a hibát, akkor azzal növelik a nem foltozott rendszerek biztonságát, ha csendben fixálják.

--
Don't be an Ubuntard!

Opensource projectekben is megesik időnként, és pont ugyanannyira kifogásolható azokban az esetekben is, mint most

Igazából azoknál méginkább kifogásolható, mert jórészük a full-disclosure elvet vallja, az szerepel a policyjükben, hogy minden hibát bejelentenek és a valóságban mégse így tesznek.

A Microsoft legalább nem hazudja azt, hogy ők minden javított hibáról advisoryt adnak ki... :)

( cannibal | 2010. 05. 10., h – 13:10 )

Ezt már sikerült eltanulni Torvaldosz bandájától.

[ Like ]

( dejo v | 2010. 05. 10., h – 13:25 )

Mert szerények. Nem akartak hivalkodni, hogy lám már megint befoltoztunk néhány lukat.
Igaz a Core Security-t ők informálták, az ügylet többi része nem nyilvános.(*)

(*) Mese ám. Csak én találtam ki. Ha a valósággal egybe esik az csak a véletlen műve. :-{)E

--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba és kész!

( honorshark | 2010. 05. 10., h – 13:53 )

zOMG javitanak NE NE NE. Pusztuljon a fergese..

Vicc.
Minden frissitesnel ugyis backupolni kell, csak ugy meg nem telepednek fel maguktol.

(IMHO ugy a korrekt hogy titokban tartjak, kevesebb embernek szur szemet, nehezebben lesz elterjedt, igy a vedtelen gepek biztonsagban vannak)

( crown v | 2010. 05. 10., h – 13:56 )

Biztonsagtechinai ceg felhozott egy hibat, hogy a Microsoft elsikkasztott par hibajavitas bejelentest. Erre a Microsoft meindokolta a tettet. Szerintem nem sikerult az indoklas, remelhetoleg legalabb a jovoben *minden* javitast lekomunikalnak es nem valami kibogozhatatlan modon. [nem mintha nagyon erintene a tema, de ki tudja]

( KGer | 2010. 05. 10., h – 14:27 )

Ha eddig nem ismer sulyos hibakat javitottak, akkor azzal hogy odairjak, felhivjak ra minden gonosz figyelmet, akik majd kihasznaljak. Ezt most megtette a code security.

( uid_6201 v | 2010. 05. 10., h – 14:39 )

Így kell év végi "2010-ben kevesebb hibát tartalmaztak a Microsoft termékek mint a konkurensei" összefoglalóra előkészülni.

( hokuszpk | 2010. 05. 10., h – 17:04 )

mar regebben is ment a pletyi, hogy ezt csinalja az ms, de csak sejtes maradt, mert senki nem vette a faradsagot, hogy bebizonyitsa.