A Microsoft megerősítette, hogy aktívan kihasználják a Google mérnöke által nyilvánosságra hozott sebezhetőséget

 ( trey | 2010. június 16., szerda - 9:34 )

Tavis Ormandy június 10-én hozott nyilvánosságra egy, a Microsoft Windows Help and Support Center szolgáltatását érintő sebezhetőséget. A redmondi cég nem sokkal később egy SA-t adott ki róla és nemtetszésének adott hangot azzal kapcsolatban, hogy a Google mérnöke a full-disclosure listán bejelentette a problémát. Ormandy 5 nappal azután publikálta a részleteket, hogy értesítette a Microsoft-ot a problémáról. Egyesek kritizálták ezért, mondván, hogy 5 nap nem elég a megfelelő javítás kidolgozásához. Ormandy azzal védekezett később, hogy tárgyalt a Microsoft-tal a javítás menetéről, de a szoftvergyártó 60 napon belüli javításról próbált egyeztetni vele, ez pedig számára - az események fényében úgy tűnik - elfogadhatatlan volt.

A redmondi vállalat megerősítette, hogy a biztonsági csapata tárgyalt Ormandy-val a javítás kiadásának ütemezéséről, de azt állította, hogy a tárgyalások korai szakaszban jártak és meglepetésként érte őket a Google mérnökének közlése.

A Sophos blogján Graham Cluley élesen bírálja Ormandy-t "Tavis Ormandy - are you pleased with yourself? Website exploits Microsoft zero-day" cikkében. Szerinte a Google alkalmazottjának viselkedése "teljesen felelőtlen" volt.

Az észlelt támadások a Windows XP ellen folynak. A Microsoft egy "Fix it" workaround-ot adott ki a problémára annak javításáig. Az egyelőre nem ismert, hogy a Microsoft a következő patch kedden vagy out-of-band, azaz soron kívül javítja-e majd a problémát.

A részletek itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

"Megpatcheltem"... :-) és nem kellett 60 nap

c:\windows\pchealth\helpctr\binaries> dir helpctr* /a
A meghajtóban (C) lévő kötet WINXP.
A kötet sorozatszáma: 8CD6-A5B0

c:\windows\pchealth\helpctr\binaries tartalma:

2010.06.16. 10:21 DIR helpctr.exe
2008.04.14. 09:02 769 024 helpctr.exe_

Bár a helpctr.exe "mappán" be kellett állítani a jogosultságot (System, Rendszergazda,Mindneki -> Írás megtagadás), mert a Windows XP ismét létrehozta a helpctr.exe fájlt.

Lehet, hogy botor kérdés: újraindítás kell-é?

"ez pedig számára - az események fényében úgy tűnik - elfogadhatatlan volt."
Nem is tudtam, hogy új vezír van az ms élén.

Szerintem sem az MS-nek sem Tavis Ormandynak nincs igaza.
A 60 nap lehet, hogy sok, de elegánsabb lett volna, ha már annyira sürgetni akarta volna az MS-t a javítás miatt, hogy azt mondja nekik, hogy két hét múlva, vagy 20 nap múlva nyilvánosságra fogja hozni.
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba és kész!

Sakko meg lelövik egy fekete ótóból :)

Kérdezd meg a házi biztonsági szakértőinket mi az aktuális véleményük a full disclosure-ról.

--
trey @ gépház

anr, turul16, prygme, szólítunk titeket \o/

[ #FreedomFlotilla ] [ hupexpertize© ] [ hupdiploma ]

Nade mióta mennek már az Ormandy-t piszkáló hírek. Javítás még mindig sehol. Max. egy workaround. 0day körökben meg lehet, hogy már régóta ismert a bug.

Innentől kezdve lányos hiszti amit az M$ csinál: Aki fél hogy megbasszák, ne menjen kurvának!

Na azért lassan a testtel.. Oks, hogy hiba, meg hogy sürgősen javítani kell, de egy részről a javításra is rá kell állítani 1-2 embert, azoknak pontosan le kell tudniuk kódolni a javítást, aztán odaadni valami auditing team-nek, letesztelni, majd hivatalosan kiadni ( mert ugye ha a folt is lyukas akkor az MS meg baxhatja ). Ez meg akárhogy is nézed 6 nap alatt a rohadt életbe nem fog neked összejönni.
Illetve ha belegondolsz régebben is volt nem egy olyan hiba a rendszerben, ami annyira a rendszer mélyén volt, hogy simán nem tudták volna javítani annak fényében, hogy a ráépülő szolgáltatások is mind maradéktalanul működjenek utána ( erre mondják, hogy design error ), így a lassabb úton kellett haladniuk: Szépen fokozatosan átírogatni a subsystemeket, amik az adott részre épültek, majd végleg befoltozni a hibát.
Innentől fogva meg ez a fajta full disclosure céges szinten szerintem is felelősség.. Egy rohadt SQL injection javítására ( ami azért szintén nem nagy dolog helyenként ) való felszólításnál is min 30 napot szoktak adni az oldal gazdájának, aztán onnan indulhat a full disclosure mint nyomatékosítás, ha addig nem reagál rá semmi értelmeset.
Na szóval azért hiába MS, azért a "hisztinek" is van határa..
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Bezonyám. annak a nyavalyás peccsnek át kell mennie 600 millió teszten, mert a fene se tudja h. nem pont véletlenül a sol.exe-t teszi tönkre install után, és így a közigazgatásban, állami szférában dolgozó sokezer semmirekellő nem tudná a munkaidőt mivel eltölteni!

A legelegánsabb az lett volna, hogy csak szimplán szétkürtöli ország-világnak, hogy "Akkora hibát találtam, hogy besz*rtok", de nem részletezte volna. Aztán még egyezkedni is lehetett volna a Microsofttal a közzétételt illetően :D

SKL - leírásgyűjtemény és informatikai portál

Mint (nem keveset) fizető ügyfél (biztonsággal foglalkozó alkalmazottja) lehet számára elfogadhatatlan.

--
trey @ gépház

Mint egy túszdráma.