Biztonsági cég hívta fel a figyelmet a Microsoft titkos javításaira

 ( trey | 2010. május 10., hétfő - 11:44 )

A Core Security azt állítja, hogy a Microsoft titokban patchelt meg három sebezhetőséget a múlt hónapban. A három sebezhetőség közül kettő a redmondi cég vállalati levelező- és csoportmunka szerverét, a Microsoft Exchange-t érintette. Ivan Arce, a Core Security műszaki igazgatója azt állítja, hogy a Microsoft javította a hibákat, de elmulasztotta közölni ennek tényét.

A biztonsági cég azért tartja aggályosnak a Microsoft eljárását, mert szerintük az információk hiányában a rendszeradminisztrátorok rossz döntést hozhatnak, amikor afelől döntenek, hogy az adott frissítést telepítsék-e vagy sem. A Microsoft elismerte, hogy a házon belül talált bugokat a részletek közlése nélkül javítja, de megvédte ezt a gyakorlatát.

Jerry Bryant, a Microsoft biztonsági igazgatója elmondta, hogy mikor egy biztonsági hibát felfedeznek, akkor széleskörűen kivizsgálják a problémát és javítanak minden, a kódban talált egyéb hibát. Ez lehetővé teszi, hogy az ügyfeleknek kevesebb frissítést kelljen telepíteniük, hiszen a frissítések telepítése kiesésekkel járhat az ügyfél informatikai környezetében.

A Core Security weboldalán közölte a titokban javított sebezhetőségek leírását.

A részletek itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

a "lusta rendszergazdák" védelmében imho van ráció a Microsoft álláspontjában.

Van rajta sapka?

Szerk: Na nem mintha nem lenne igaza a biztonsági cégnek, csak ne felejtsük el, hogy ez nem a Microsoft találmánya. Opensource projectekben is megesik időnként, és pont ugyanannyira kifogásolható azokban az esetekben is, mint most.

Ugyanakkor bizonyos szempontból érthető ez a magatartás, ha házon belül fedezik fel a hibát, akkor azzal növelik a nem foltozott rendszerek biztonságát, ha csendben fixálják.

--
Don't be an Ubuntard!

Opensource projectekben is megesik időnként, és pont ugyanannyira kifogásolható azokban az esetekben is, mint most

Igazából azoknál méginkább kifogásolható, mert jórészük a full-disclosure elvet vallja, az szerepel a policyjükben, hogy minden hibát bejelentenek és a valóságban mégse így tesznek.

A Microsoft legalább nem hazudja azt, hogy ők minden javított hibáról advisoryt adnak ki... :)

Ezt már sikerült eltanulni Torvaldosz bandájától.

[ Like ]

Pusztán szakmailag érdekelne, hogy a 4 év hallgatásban zavarodtál meg vagy feltörtél egy alvó nicket? :)

Ez alvó nick, igazad van. Akkoriban regisztrálták, amikor Gabu repült innen. 4 év alatt egyetlen hozzászólás. Most, hogy amagda/gabu is repült, hirtelen aktívvá vált ez az alvó nick. Nagyon átlátszó.

Már McHalls második felhasználóját is a halálba szekáltad az üldözési mániáddal. Tedd: a lényeg hogy röhögünk rajtad.

[ Like ]

Jó a buli?

LOL :)

Egyik se, eszembe jutott a silentfixed openssl backdoor :)

[ Like ]

Szerintem neked mindenről az openssl jut eszedbe. :D

Egyrészt mert a linux felhasználók igyekszenek úgy tenni mintha a manyeyeball és a közösségi fejlesztés eme tökéletes kudarca soha meg se történt volna, másrészt meg olyan vicces látni ahogy véres szájjal ugranak arra aki fel merészeli emlegetni ;)

[ Like ]

Akkor ez olyan verseny lehet, hogy ki tud titkosabban kijavítani valamit úgy, hogy nem derül ki. Csak azt nem tudom, hogy hogyan tudjuk meg, hogy ki nyert? :)

Mert szerények. Nem akartak hivalkodni, hogy lám már megint befoltoztunk néhány lukat.
Igaz a Core Security-t ők informálták, az ügylet többi része nem nyilvános.(*)

(*) Mese ám. Csak én találtam ki. Ha a valósággal egybe esik az csak a véletlen műve. :-{)E

--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba és kész!

zOMG javitanak NE NE NE. Pusztuljon a fergese..

Vicc.
Minden frissitesnel ugyis backupolni kell, csak ugy meg nem telepednek fel maguktol.

(IMHO ugy a korrekt hogy titokban tartjak, kevesebb embernek szur szemet, nehezebben lesz elterjedt, igy a vedtelen gepek biztonsagban vannak)

Biztonsagtechinai ceg felhozott egy hibat, hogy a Microsoft elsikkasztott par hibajavitas bejelentest. Erre a Microsoft meindokolta a tettet. Szerintem nem sikerult az indoklas, remelhetoleg legalabb a jovoben *minden* javitast lekomunikalnak es nem valami kibogozhatatlan modon. [nem mintha nagyon erintene a tema, de ki tudja]

Ha eddig nem ismer sulyos hibakat javitottak, akkor azzal hogy odairjak, felhivjak ra minden gonosz figyelmet, akik majd kihasznaljak. Ezt most megtette a code security.

*core

a gonoszok meg csinálnak bindiffet maguktól is :)

Így kell év végi "2010-ben kevesebb hibát tartalmaztak a Microsoft termékek mint a konkurensei" összefoglalóra előkészülni.

mar regebben is ment a pletyi, hogy ezt csinalja az ms, de csak sejtes maradt, mert senki nem vette a faradsagot, hogy bebizonyitsa.

ROTFL, ezt a baromságot honnan vetted? Köztudott tény, hogy MS ezt csinálja, nem kellett bizonyítani eddig sem. A fél scene a kijövő patchek visszafejtésével foglalkozik már évek óta.

btw publikált XP-kernel source hogyhgoy nincs még?

Miből gondolod, hogy nincs? :)

Windows Research Kernel alatt elérhető már 4 éve. A kérdés inkább az, hogy Vista/2008 kernel miért nincs...