Címlap

Windows 0day kihasználására figyelmeztet a Microsoft

 ( trey | 2014. október 22., szerda - 21:37 )

A Windows összes támogatott verzióját (kivéve a Windows Server 2003-at) érintő 0day sebezhetőség aktív, korlátozott, célzott kihasználására figyelmeztet a Microsoft. A Microsoft Security Advisory 3010060 alatt leírt "Vulnerability in Microsoft OLE Could Allow Remote Code Execution" sebezhetőség a CVE-2014-6352 azonosító alatt fog szerepelni (hasonló sebezhetőségről volt szó nemrég a SandWorm kapcsán).

 »
  • A hozzászóláshoz belépés szükséges
  • 3575 olvasás

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.
( trey | 2014. október 22., szerda - 21:46 )

Javítva, a 2003 Server-t nem.

--
trey @ gépház

( robyboy | 2014. október 22., szerda - 22:27 )

Ez azért gáz, mert megkérdőjelezi a legújabb rendszer a legbiztonságosabb filozófiát.

--
robyboy

"Gondolkozni nehéz, ezért legtöbben ítélnek." - Márai Sándor

( BaT | 2014. október 23., csütörtök - 2:14 )

Vagy csak a 2003 a legrégebbi támogatott windows verzió, amit azért nem érint a hiba, mert egy későbbi fejlesztés során került be.

Vagy szerinted a linux kernel 1.0-t érintik azok a biztonsági hibák, amik a 3.x-eket?

( robyboy | 2014. október 28., kedd - 11:03 )

Ha az "in the Wild" kategóriára gondolok, akkor az aktuális operációs rendszerek mindig veszélyeztetettebbek, mint a régebbiek.
Szerintem ma a DOS 5.1 lenne a legbiztonságosabb operációs rendszer kb., míg pl. anno ezt biztos nem mondhattuk el.

--
robyboy

"Gondolkozni nehéz, ezért legtöbben ítélnek." - Márai Sándor

( BaT | 2014. október 28., kedd - 22:25 )

Kevésbé veszélyeztetett != biztonságosabb. A biztonsági rések számát nézd (amiknek nem feltétlenül kell ismerteknek lenniük), ne az aktívan kihasználtakét.

( robyboy | 2014. október 31., péntek - 20:26 )

Ez igaz, de van egy olyan aspektus is, hogy minél régebbi szoftverről beszélünk, annál rövidebb a kód, ergo kevesebb hibát tartalmazhat elméletben és fizikailag. A funkciószegénység is előny ilyen szempontból.

A franc tudja hánymillió soros operációsrendszer-szörnyek korában hemzsegnek a hibák.

--
robyboy

"Gondolkozni nehéz, ezért legtöbben ítélnek." - Márai Sándor

( ncc1701 | 2014. október 23., csütörtök - 12:03 )

Nem figyelmeztetni kéne, hanem javítást kiadni.

( apal (veterán) | 2014. október 23., csütörtök - 12:10 )

... ha viszont nem vered nagydobra (nem figyelmeztet az adott sw gyartoja), akkor nem fognak olyan intenzitassal patch-elni sem az uzemelteto"k. persze az a legjobb hogy "itt a javitas, frissits most".

( BaT | 2014. október 23., csütörtök - 22:01 )

Figyelmeztetést kiadni kicsit kevesebb időbe telik, mint javítást. Pláne, ha azt elsőre jóra akarják megcsinálni, és nem úgy ahogy pl. a bash patchelését sikerült (sajnos mostanában ez a microsoftnak se sikerül mindig). Ahogy a mondás tartja: jobb félni, mint megijedni.

( log69 | 2014. október 23., csütörtök - 23:21 )

Csak a figyelmeztetéssel a hibára vonják a figyelmet, vagy nem? Aki eddig nem tudott róla, azok is kereshetik és találhatnak adott esetben.

( Hunger | 2014. október 26., vasárnap - 23:02 )

/o\

( log69 | 2014. október 28., kedd - 11:06 )

Figyelmeztessenek akkor, ha van hozzá workaround vagy javítás. Nem?

( Hunger | 2014. október 29., szerda - 13:49 )

Van hozzá workaround több is, de ez nyilván mellékes azután, hogy "a figyelmeztetéssel a hibára vonják a figyelmet" aggódásodat fejezed ki, miközben "aktív kihasználása" folyik már a sebezhetőségnek.

( jrewing | 2014. október 23., csütörtök - 20:04 )

Az UAC-kikapcsolasa melletti erv az szokott lenni, hogy kibaszott kenyelmetlen, ha be van kacsolva.

( ulysses (veterán) | 2014. október 24., péntek - 10:03 )

"Áh, minek az a biztonsági öv."

( gelei (veterán) | 2014. október 24., péntek - 12:22 )

+1

Ahogy a mondás is tartja: aki hülye, haljon meg. Ha valaki kikapcsolja az UAC-t, lelke rajta, de akkor ne sírjon, ha beszop egy ilyet.