0day Windows exploitot tett közzé a Google egyik biztonsági szakértője

Tavis Ormandy, a Google biztonsági csoportjának tagja 2010-ben már tett hasonlót. Három évvel ezelőtt egy 0day sebezhetőség részleteit közölte. Akkor a Microsoft nem örült. A Google alkalmazottja most egy 0day Windows exploitot tett közzé a full-disclosure levelezési listán. A H Security megerősítette, hogy az exploit használatával a támadó NT Authority\SYSTEM jogokhoz juthat az áldozat rendszerén.

Részletek itt.

Hozzászólások

Azé vicces, hogy még guest accountot használva is System jogokhoz lehet jutni.

-------------------------
Trust is a weakness...

Mielőtt nyilvánosságra hozta, hogy mit talált, nem jelezte ezt a Microsoftnak javítást kérve?
Mert ha jelezte, akkor csak a javítás után kellene nyilvánosságra hozni, hogy ne lehessen ezt kihasználni. Vagy akkor ha a Microsoft elzárkózik a javítástól.
Vagy álomvilágban élek?
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

szvsz minden rendszerben van javitatlan 0day sebezhetoseg, sot akar sokaig javitatlan is marad annak ellenere, hogy az jelezve van, ez igaz lehet akar nem MS rendszerekre is.

nem vagyok MS dolgozo, sot a partjukat sem fogom, de ezt en csak marketingnek latom tisztan, alkalom van rarugni az MS-re es a Google ezt gond nelkul meg is teszi, amugy pedig a Google utobbi idoben tanusitott magatartasa bicskanyitogatobb mint az MS-e, de ez is csak sajat velemeny.

--
FBK

Tisztelve a véleményed: nem lehetne olvasni egy kicsit? A Google hozzáállása: ha talál exploitálható rést szól, 60 nap van javítani. Közben figyel hogy próbálják e kihasználni az adott hibát exploittal, ha igen, akkor a következő 7 napra rövidíti az időt amíg elvárja hogy javítsák vagy workaround lehetőségről tájékoztassák a telepített verziók gazdáit.
Szerintem, ez egy pénzért árult (és támogatott) szoftvernél alapkövetelmény. Nem is teljesíthetetlen egyetlen határidő vagy eljárás sem _látatlanban_ általánosságban. Persze lehet olyan hogy mégsem. Korrektül meg is lehet ezt beszélni. A Google azt állítja hogy az MS ehhez elég agresszívan áll hozzá.
Van egy rendszered, amelyen van egy exploitálható hiba, de a gyártó annak ellenére nem szól neked 10 napig, hogy tudja hogy a hiba létezik és épp elég sokan kihasználják. Azt a lehetőséget, hogy a szoftvert használhasd pénzért vetted, ha akarsz sem tudsz belenyúlni, esetleg még támogatásod is van rá. Mennyit árnyal ezen esetleg, hogy ez az internet kliensek által 90%-ban használt operációs rendszer, ezzel az egész hálózatot boríthatóvá teszi?
Akkor most ezzel kapcsolatban hogy változik a véleményed?

+1 Hunger-nek

Te most eloadtal egy szep meset, epp csak az nem fedi a valosagot.

1. a Google nemreg csokkentette a 60 napot 7(!) napra, ami arra se eleg, hogy a QA-n rendesen atfusson barmi.
2. ezen tul sikerult pont az ala a cikk ala kommentelned ezeket, ahol le van irva feketen-feheren, hogy a Google alkalmazott nem vart SEMENNYIT (mondvan, hogy neki "nincs kedve" lejatszania a szokasos szukseges koroket), hanem egybol full disclosure-t csinalt.

Akkor ezek utan elarulnad, hogy megis mirol beszelsz?

"itt a cég lett lehúzva és nem az alkalmazott"

Es? Az alkalmazott kepviseli a ceget. Ez mindenhol igy van, nem csak a szegeny arva szuzmaria Google-nel. Mivel ugye a "ceg" mint olyan nem onmagaban letezo entitas, hanem az alkalmazottaibol all. Ha egy ceg faszszopo alkalmazottakbol all, akkor a ceg is faszszopo. Foleg ha a faszszopo elemek az egvilagon semmilyen szankcioban nem reszesulnek az ilyen kilengeseik utan.

Total mellekes, de az altalad linkelt cikk pedig ismet csak azt tamasztja ala, hogy hulyesegeket beszelsz, mivel szo sincs tobbe 60 naprol, mindenkepp kiteszik 7 nap utan a 0day-t. De amugy se olyan baromi nehez belatni, hogy nyolcadannyi ido alatt megcsinalni ugyanazt a munkat mindenkepp kibaszas. 10 napig nem valaszol az MS a Google-nek? Es? Akkor mi van? Kerte toluk barki is, hogy code audit-ot vegezzenek mas zart rendszerein (most igy eszembe jutott ez a gyongyszem is)? Tovabbmegyek, erre szerinted az az esszeru megoldas, hogy kitesszuk az exploit-ot, hadd basszak szet a felhasznalok gepeit?

De ugy altalanossagban is, aruld mar el, hogy kinek es miert tesz jot a Google azzal, hogy hamarabb teszi ki a 0day-eket? Mert hogy az MS nem jar jol vele, az biztos. Az exploit-olt user-ek meg kevesbe. Na, akkor ki jar jol vele, na ki? Bingo, a Google, aki kibaszhat a vetelytarssal, es esetleg bonuszkent verheti a mellet, hogy bezzeg az o rendszere milyen uberbiztonsagos. Ami egyebkent kurvara nem fedne a valosagot, mivel jelenleg is nagyjabol 6x annyi sechole van a Chrome-ban, mint a Windows-ban (ezzel megnyerve az elokelo elso helyet). Meg ugye ott a store, ami tele van malware-rel. Ugyhogy a Google inkabb a sajat fosaban turkaljon, ne masokkal basszon ki szantszandekkal, mikozben eloadja, hogy ok a cybersecurity megmentoi. Aztan meg itt rankszabaditjak willy-t, aki elmagyarazza nekunk a szopatasrol is, hogy hat igazabol ez tok jo arc dolog a Google-tol. Hat rohog a vakbelem.

""itt a cég lett lehúzva és nem az alkalmazott"
Es? Az alkalmazott kepviseli a ceget. Ez
mindenhol igy van, nem csak a szegeny arva
szuzmaria Google-nel."
- nem lehet az adott közösség teljes koruen felelős azért, csak mert az egyik tagja egy baromarcú. A hup-ot se célszerű csak az alapján megítélni hogy milyen alakok irogatnak ide.
--
zsebHUP-ot használok!

"nagyjabol 6x annyi sechole van a Chrome-ban, mint a Windows-ban (ezzel megnyerve az elokelo elso helyet)"

Ez annyira hihetetlen volt számomra hogy utánanéztem (főleg, hogy a Google fizet a beküldött bugokért-> nyilván komoly összegeket fektet bele hogy biztonságos legyen). És lám: A nagyrészét a Google jelenti be. (Nyilván a Microsoft is becsületesen beküldi az általa javított hibákat Oh wait) A google-chrome minden verziójára külön van számolva a sebezhetőség, és úgy van feltüntetve, hogy nem javított (pedig benne van hogy upgradelj magasabb verzióra ott javítva van) Persze az összesítőben minden ilyen "bug" össze van adva. Ennyi erővel az összes eddigi IE bugot is összeadhatnánk, mert ha nem upgradelsz- nem töltöd le a javítócsomagokat, akkor rossz marad.

Ez szerintem egy az egyben hitelrontás.

Csak a teljesség igénye nélkül:

http://secunia.com/advisories/51825/

Egyeztesd össze nekem kérlek a

Solution Status: Unpatched

sort a

Solution:
Upgrade to version 24.0.1312.52.

sorral. Csak a figyelmedbe ajánlanám, hogy a Google chrome automatikusan update-el legalábbis windows-on (amiről a felmérés szólt ugyebár).

Akkor ez hogy is van?

Ja még egy link amiben az Apple ekézi a Secunia-t.

Mit szeretnel mondani? Hogy a Chrome-ot patch-elik? Es? Kit erdekel? Persze, hogy patch-elik. Ha allandoan jonnek a patch-ek, akkor az szamodra azt mondja, hogy mostantol nincs tele sechole-lal? Akkor kesobb mert lesznek megint patch-ek es advisory-k?

Elkepzelesem sincs, hogy az auto-update hogy jon ide, mivel az semmit nem fog javitani az epp aktualis kod minosegen, ami lathatolag allando jelleggel szar. Nem, nem csak a Chrome-ban, mindenhol. Meg kell huzni a vonalat kenyelem es biztonsag kozott, es a user-eket jellemzoen nem a biztonsag szokta meghatni, ez van. Meg ugye a fejlesztoknek sincs ideje formalis modszerekkel igazolni a kod helyesseget, mert akkor meg mindig terminalbol (melykonzol rofl) bongeszgetnenk. Emelle jo ideje minden bongeszo auto-update-el Windows-on by default, szoval ez vegkepp nem mond semmit.

Az Apple-t security teren becitalni pedig tobb mint rohejes.

Lassan írom, hogy értsd! :)

1 vannak bugok: mindenhol vannak pl az IE-ben is csak valahogy ha ő fű alatt javítja az OK (nincs benne az adatbázisban), de ha a Google bejelenti, hogy volt egy hibája de kijavította - felhívnám a figyelmet, hogy nem a secunia fantasztikus kódelemzője találta a hibát - akkor az fúj, a kódminősége szar. Akkor most hogy is van ez? Én ennek pont az ellenkezőjét érzem: minden programban van hiba, de a Google-nél meg is találják őket. Az IE-nél meg nem tudom hogy megtalálják-e vagy sem.

2 kijavítják a bugot, de az adatbázisban unpached-nek van jelölve, holott ha elindítod a böngészőt automatikusan frissül a legújabb verzióra (v.ö. te mint felhasználó kurvára nem látod hogy ez még a 23-as vagy már a 24-es verzió nem úgy mint az IE10/IE11-nél). Ezért egy ici-picit úgy érzem az IE-nek lejt a pálya, mert az IE11-nél úgy van jelölve hogy abban a verzióban ez már javítva van -> nem is számít bele a csili-vili statisztikákba. Ez a statisztika hamisítása.

3 Elolvastad hogy mit írtak? Szerintem is f*s az Apple security téren, de esetleg a Window/Linux-szal kéne összehasonlítani, nem a cisco/HP-vel és nem csak a hibák száma számít hanem esetleg a súlyossága is. Felhozott érveikben - szerintem - igazuk volt. Esetleg nem utolsók, hanem utolsó előttiek lettek volna.

Adott esetben kicserélhetnéd bármi másra a Google cégnevet. Az alkalmazott nem úgy járt el ahogy a cége elvárja. Majd kiderül hogy áll ehhez a cége. Egy másik történet a cég hogy áll ezekhez a kérdésekhez. Itt a vita másról szól, de úgy látom hogy a számomra egyértelmű " ... Our standing recommendation is that companies should fix critical vulnerabilities within 60 days -- or, if a fix is not possible, they should notify the public about the risk and offer workarounds. We encourage researchers to publish their findings if reported issues will take longer to patch. Based on our experience, however, we believe that more urgent action -- within 7 days -- is appropriate for critical vulnerabilities under active exploitation. ... " szöveget úgy látszik máshogyan is lehet értelmezni.

60 nap van javítani
nem igaz.

Közben figyel hogy próbálják e kihasználni az adott hibát exploittal
a gyerek nekem 2 évesen különb meséket néz.

_látatlanban_ általánosságban
mintha nem is írtad volna, ez csak tipp, nem is tartozik ide. emiatt kár kiemelnem nekem is.

Korrektül meg is lehet ezt beszélni.
jah, mind a csodacég, mind a MS erről híres: tök "korrektek"! a két korrekt cég pedig mégiscsak megbeszél mindent ahogy kell :DD

A Google azt állítja hogy az MS ehhez elég agresszívan áll hozzá.
nincsen jelentősége, még akkor sem ha ez így igaz, ahogyan írtad.

van egy exploitálható hiba" -> "és épp elég sokan kihasználják
ilyen információkat én is szeretnék. egy valós számot írhatnál. egy publikált zeroday exploit esetén a publikálás előtti incidensek számát te tényleg meg tudod mondani?

Azt a lehetőséget, hogy a szoftvert használhasd pénzért vetted, ha akarsz sem tudsz belenyúlni, esetleg még támogatásod is van rá
neked mi az anyanyelved? tényleg nem baszlatásból kérdezem, de volt már aki fordítóval írt ide "vincsit füstöltetve" és szemmel látható a hasonlóság. lehet utólag javítottad a mondandód, felületesen. szóval mit akartál mondani?

--
Vége a dalnak, háború lesz...

"60 nap van javítani"
nem igaz.

De igaz. Idemásolom a fenti link lényegét neked:

"Our standing recommendation is that companies should fix critical vulnerabilities within 60 days -- or, if a fix is not possible, they should notify the public about the risk and offer workarounds. We encourage researchers to publish their findings if reported issues will take longer to patch. Based on our experience, however, we believe that more urgent action -- within 7 days -- is appropriate for critical vulnerabilities under active exploitation."

Tehát alapban 60 nap, de aktívan kihasznált kritikus hibáknál ez 7 napra csökken.

"Seven days is an aggressive timeline and may be too short for some vendors to update their products, but it should be enough time to publish advice about possible mitigations, such as temporarily disabling a service, restricting access, or contacting the vendor for more information. As a result, after 7 days have elapsed without a patch or advisory, we will support researchers making details available so that users can take steps to protect themselves."

Tehát még itt se 7 napon belüli javításról van szó, hanem arról, hogy 7 napon belül egy biztonsági figyelmeztetést kiadjanak arról, hogy aktívan támadják a terméküket, és adjanak tanácsot a vásárlóiknak arról, hogy hogyan tudják minimalizálni a kockázatot.