Windows 0day kihasználására figyelmeztet a Microsoft

 ( trey | 2014. október 22., szerda - 21:37 )

A Windows összes támogatott verzióját (kivéve a Windows Server 2003-at) érintő 0day sebezhetőség aktív, korlátozott, célzott kihasználására figyelmeztet a Microsoft. A Microsoft Security Advisory 3010060 alatt leírt "Vulnerability in Microsoft OLE Could Allow Remote Code Execution" sebezhetőség a CVE-2014-6352 azonosító alatt fog szerepelni (hasonló sebezhetőségről volt szó nemrég a SandWorm kapcsán).

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Javítva, a 2003 Server-t nem.

--
trey @ gépház

Ez azért gáz, mert megkérdőjelezi a legújabb rendszer a legbiztonságosabb filozófiát.

--
robyboy

"Gondolkozni nehéz, ezért legtöbben ítélnek." - Márai Sándor

Vagy csak a 2003 a legrégebbi támogatott windows verzió, amit azért nem érint a hiba, mert egy későbbi fejlesztés során került be.

Vagy szerinted a linux kernel 1.0-t érintik azok a biztonsági hibák, amik a 3.x-eket?

Ha az "in the Wild" kategóriára gondolok, akkor az aktuális operációs rendszerek mindig veszélyeztetettebbek, mint a régebbiek.
Szerintem ma a DOS 5.1 lenne a legbiztonságosabb operációs rendszer kb., míg pl. anno ezt biztos nem mondhattuk el.

--
robyboy

"Gondolkozni nehéz, ezért legtöbben ítélnek." - Márai Sándor

Kevésbé veszélyeztetett != biztonságosabb. A biztonsági rések számát nézd (amiknek nem feltétlenül kell ismerteknek lenniük), ne az aktívan kihasználtakét.

Ez igaz, de van egy olyan aspektus is, hogy minél régebbi szoftverről beszélünk, annál rövidebb a kód, ergo kevesebb hibát tartalmazhat elméletben és fizikailag. A funkciószegénység is előny ilyen szempontból.

A franc tudja hánymillió soros operációsrendszer-szörnyek korában hemzsegnek a hibák.

--
robyboy

"Gondolkozni nehéz, ezért legtöbben ítélnek." - Márai Sándor

Nem figyelmeztetni kéne, hanem javítást kiadni.

... ha viszont nem vered nagydobra (nem figyelmeztet az adott sw gyartoja), akkor nem fognak olyan intenzitassal patch-elni sem az uzemelteto"k. persze az a legjobb hogy "itt a javitas, frissits most".

Figyelmeztetést kiadni kicsit kevesebb időbe telik, mint javítást. Pláne, ha azt elsőre jóra akarják megcsinálni, és nem úgy ahogy pl. a bash patchelését sikerült (sajnos mostanában ez a microsoftnak se sikerül mindig). Ahogy a mondás tartja: jobb félni, mint megijedni.

Csak a figyelmeztetéssel a hibára vonják a figyelmet, vagy nem? Aki eddig nem tudott róla, azok is kereshetik és találhatnak adott esetben.

Figyelmeztessenek akkor, ha van hozzá workaround vagy javítás. Nem?

Van hozzá workaround több is, de ez nyilván mellékes azután, hogy "a figyelmeztetéssel a hibára vonják a figyelmet" aggódásodat fejezed ki, miközben "aktív kihasználása" folyik már a sebezhetőségnek.

Az UAC-kikapcsolasa melletti erv az szokott lenni, hogy kibaszott kenyelmetlen, ha be van kacsolva.

"Áh, minek az a biztonsági öv."

+1

Ahogy a mondás is tartja: aki hülye, haljon meg. Ha valaki kikapcsolja az UAC-t, lelke rajta, de akkor ne sírjon, ha beszop egy ilyet.