A Microsoft tervezi javítani a 6 hónapja javítatlanul álló, kritikus IE8 sebezhetőséget

 ( trey | 2014. május 26., hétfő - 9:16 )

A Corelan-os Peter "corelanc0d3r" Van Eeckhoutte tavaly talált egy kritikus "use after free" IE8 sebezhetőséget, amelynek leírását, részleteit eladta a HP tulajdonában levő Zero Day Initiative-nek (ZDI). A ZDI az így megszerzett információkat biztonsági termékeiben felhasználja, így védi ügyfeleit. A ZDI az irányelveinek megfelelően 2013. októberében értesítette a sebezhetőségről a Microsoft-ot. A ZDI a saját protokollja szerint 180 napig visszatartotta a sebezhetőség részleteit, időt adva a gyártónak a javítás elkészítésére.

A Microsoft 2014. februárjában megerősítette, hogy reprodukálni tudja a hibát, de javítást nem tett közzé. 2014. áprilisának elején a ZDI 180 napos türelmi ideje lejárt, így május elején értesítette a Microsoft-ot, hogy nyilvánosságra hozza a sebezhetőség részleteit. A nyilvánosságra hozatal 2014. május 21-én megtörtént.

Az Ars Technica nemrég közzétett adatai szerint az Internet Explorer 8 még jókora részesedéssel bír az Internet Explorer felhasználók körében.

A Microsoft nem adott konkrét választ arra, hogy miért tart ennyi ideig a javítás elkészítése, de azt közölte, hogy egyes javítások kidolgozása hosszabb időt vesz igénybe és mindegyiket óriási mennyiségű programmal, alkalmazással és konfigurációval kell tesztelniük.

A redmondi vállalat azt közölte a IDG News-zal, hogy tervei közt szerepel a hiba javítása. Időpontot azonban nem adott arra nézve, hogy ez a javítás mikor lesz elérhető.

Részletek Van Eeckhoutte blogbejegyzésében, az Ars Technica és az Infoworld cikkében.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

tapsot érdemel megint az MS.

AZ ilyen bugokkal kapcsolatban két dolog jut eszembe.

A. Ha mi javítanák ilyen tempóban ... hagyjuk.

B. Mennyi lehet még amiről nem tájékoztatta a nyilvánosságot egy "hobbista"??

C. ha closed/proprietary source mellett ennyi ilyen hibat talalnak akkor mennyi lehet valojaban?

Nem egy opensource cuccban sokkal durvább hibákat sem vett észre az az elvileg sok szem, ami láthatja a kódot, hogy arról ne is tegyek említést, amikor a csomag karbantartója túrt bele az eredeti forrásba úgy, ahogy azt nem kellett volna... És az is kiment az éles repókba...

Az a baj hogy kiragadott példákon lovagolunk hetekig, hónapokig.

--
arch,xubuntu,debian,windows,android

dev: http://goo.gl/7Us0GN
BCI news: http://goo.gl/fvFM9C

Az a baj, hogy ezek a kiragadott példák azért nem olyan ritkák. ;)

Ez vilagos. De nem ez volt a kerdes ;]

+1

Van erre valami friss statisztika? Mármint számokkal, és nem vallással igazolva, hogy melyik kódban milyen aránnyal fordulnak elő kritikus hibák?
------------------------
Everyone is a winner*

Természetesen van.
De , hogy te azt ELHISZED vagy sem , onnantól válik vallássá.
Tudni meg nem tudsz semmit , mert az egyik oldalon nem kötik az orrodra a kódot.
A másik oldalon látható ugyan a kód , de mint számos példa mutatja , minek?

Az egyik oldalon van tervezett és részletesen dokumentált tesztelés és minőségbiztosítás, a másik oldalon meg vagy van, vagy nincs.

melyik oldal melyik?

Szerinted...?

van tervezett és részletesen dokumentált tesztelés és minőségbiztosítás
no, az milyen lenne ha nem lenne...

Köszönöm, erre volt szükségem.
------------------------
Everyone is a winner*

És ezt vajon kiadják még zikszpére? :)
--
The Community ENTerprise Operating System

Nagyon titkoloznak.

......................
Egymás segítésére még: http://pc-kozosseg.com