ACG bypass sebezhetőséget talált a Google az Edge böngészőben; a határidő leteltével nyilvánosságra hozta részleteit

 ( trey | 2018. február 20., kedd - 9:55 )

A Google biztonsági csapata, a Project Zero egy Arbitrary Code Guard bypass sebezhetőséget talált a Microsoft Edge böngészőben. A csapat a biztonsági problémát jelezte a gyártó felé. A Project Zero 90 napos határidőt (plusz 14 nap türelmi idő) szab a gyártóknak az általa talált biztonsági hibák javítására. A javítás megérkeztével vagy a határidő leteltével a Google nyilvánosságra hozza a sebezhetőség részleteit. Mivel a Microsoft nem javította a hibát 90 nap elteltével sem - arra hivatkozva, hogy a javítás komplexebb és az elkészítése hosszabb időt vesz igénybe mint azt elsőre várták és - a Google publikálta a hiba részleteit. A Microsoft szerint a javítás elkészülhet a márciusi Update Tuesday-re (leánykori nevén Patch Kedd).

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Nem vagyok benne biztos, hogy a helyes dolog a hatarido leteltevel nyilvanossagra hozni a hibat abban az esetben, ha ceg meg idot ker a javitashoz.

Azt hogy az exploit eloallitasahoz szukseges reszletek publikalasara miert van szukseg kulonosen nem ertem. (akar javitas eseten)

A világ egyik legtöbb fejlesztőt foglalkoztató cége kapott már 90+14 nap javítási időt egy sebezhetőségre. Nem oldotta meg a problémát. Minek még több idő?

Nekem 4-5 órán belül reagálnom kell egy megismert sebezhetőségre, pedig nem vagyok Microsoft.

Simán megszavaznék olyan törvényt, hogy olyan hiba esetén, ahol a felhasználó személyes adatai is illetéktelen kezekbe kerülhetnek vagy átvehetik a gép felett az irányítást, a hiba detektálás után egy héttel egészen addig, míg a javítás meg nem érkezik, a programnak indulás után egész ablakos üzenetben kellene figyelmeztetnie a felhasználót, hogy a program használata nem biztonságos, és a javításig keressen a user más alternatívát.

És processzor hibák esetében? ;)
(bocs...)

Természetesen elsípolná a speaker indításkor hogy victim szajsz nevö jútá. :)

Ez a szajsz jútá mit akar jelenteni. Lehet gyp-s vagyok, de nem esik le milyen angol szavak akartak ezek lenni.


„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek…” Aron1988@PH Fórum

Új lehetsz még erre: https://hup.hu/node/75512 :)

Vaaaaaaaa szakadok :-D

Hihetetlen, hogy a System failed CPU test-et hogyan hallhatta félre victim sisse never Utah-nak. A victim-system és U-test Utah még valahol érthető, de a szajsz és nevö rejtély marad. Ehhez képest a Bikicsunáj meg a Tollkabát (Talk about) még egész jó megfejtésnek tűnik.


„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek…” Aron1988@PH Fórum

bele sem merek gondolni mi mindenrol maradtal le akar ezen a klasszikuson kivul jeah.

nalunk a cegnel ket hetig meg koszones helyett is csak ennyit szoltak. ha valami hibat jelentettek, a valasz belso korokben automatikusan a "beszelo bios virus" volt. a vege fele rohadtul untuk mar, de akkor meg mar csak azert hasznaltuk mindenre, hogy meglassuk kinek durran el hamarabb az agya. ehh mara mar a balfaszkodas sem a regi :)

--
Vortex Rikers NC114-85EKLS

"És processzor hibák esetében? ;)"

A következő matricák terméken való elhelyezését kell törvényileg kötelezni:

https://imgur.com/a/qNL6t
https://imgur.com/a/PdB2m


Normális HUP-ot használok!

Lehet ilyet rendelni valahol? Egy tízes csomagra jó vagyok :D

Nem kérdeztem semmit: https://www.ebay.com/itm/40-Pack-Intel-Spectre-Meltdown-Inside-Stickers-40-Pack-2-Vinyl-Decals-/222801872064

Rendelek is XD

Ships to: USA ...

Az ehavi Google Android Security javításokban is csak 2017-es CVE-k vannak: https://source.android.com/security/bulletin/2018-02-01


20170823 - CVE-2017-13228 RCE Critical 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
20170823 - CVE-2017-13231 EoP High 8.0, 8.1
20171011 - CVE-2017-15265 EoP High Kernel

(csak párat néztem)

Nem védeni akarom a microsoftot, de ez alapján olyan dolgot várnak el a többi cégtől, amit ők sem tudnak tartani.

A saját termékeikkel sem kivételeznek:

https://bugs.chromium.org/p/project-zero/issues/list?q=label:Deadline-90

--
trey @ gépház

A spectre/meltdown patch mennyi idővel a felfedezés után jött ki? 1 évvel?
Persze ott a kugli saját infrastruktúrája is érintett volt, meg a fél (na jó, egész) világ, szóval nyilván meg lehet magyarázni, de akkor is...

"Nekem 4-5 órán belül reagálnom kell egy megismert sebezhetőségre, pedig nem vagyok Microsoft."

És 4-5 órán belül mindig tökéletes megoldást is tudsz produkálni? Ami nem tör el többmilliárd user sokmillió szoftverét?

Tisztázzuk már a nagyságrendeket.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

OK, tisztázzuk.
1. Nyilván nem mindig tökéletes az első javítás. De 104 nap sok idő.
2. Ne túlozzunk: egy webböngésző szoftvert kell javítani, nem egy atomreaktor vezérlését módosítani.

2) webböngésző, amelynek komponenseire egy halom dolog épülhet, ami ugyanúgy eltörhet, lassulhat, stb. És itt nem csak MS komponensekre kell gondolni, hanem 3rd party szoftverekre is.
2.1) Koránt sem biztos, hogy minden esetben a webböngészőben kell javítani a bugot és nem máshol. Volt már, hogy ilyen nyomozások során derültek ki compiler meg CPU bugok.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Vajon Magyarországon ez egyáltalán törvényes?

Magyar cég a Microsoft Corporation?

Nem konkrétan a Microsoft-ra gondoltam.

A gugli se magyar :)

Miért ne lenne az?
--
openSUSE - KDE user

Magyarországon valószínűleg bíróság előtt kellene bizonyítanod, hogy jó szándékú voltál. Lásd még: BKV elektronikus jegyrendszer sebezhetőségét feltáró diák ügye.

A jó szándékot csak akkor kell bizonyítanod, ha valaki rendszerében ki is használod a felfedezett hibát.
Részletes leírást adni hibáról, és a kihasználásnak lehetséges módszeréről teljesen szabályos itt is. Csak azt végrehajtani nem.

Nagy Péter

Te még hiszel a mesékben?

--
robyboy

Ezt szépen leírja a BTK 424:

Idézet:
424. § (1) Aki a 375. §-ban, a 422. § (1) bekezdés d) pontjában vagy a 423. §-ban meghatározott bűncselekmény elkövetése céljából az ehhez szükséges vagy ezt könnyítő

a) jelszót vagy számítástechnikai programot készít, átad, hozzáférhetővé tesz, megszerez, vagy forgalomba hoz, illetve

b) jelszó vagy számítástechnikai program készítésére vonatkozó gazdasági, műszaki, szervezési ismereteit más rendelkezésére bocsátja,

vétség miatt két évig terjedő szabadságvesztéssel büntetendő.

És elvileg ugye nem bűncselekvény elkövetése céljából hozzák nyilvánosságra az exploitokat, hanem pont, hogy annak ellehetetlenítését próbálják kikényszeríteni. (Bár itt kezd vékonyodni a vonal a zsarolás irányában, de mindegy.)

Illetve van még egy ilyen kitétel is:

Idézet:
(2) Nem büntethető az (1) bekezdés a) pontjában meghatározott bűncselekmény elkövetője, ha - mielőtt a bűncselekmény elkövetéséhez szükséges vagy ezt megkönnyítő jelszó vagy számítástechnikai program készítése a büntető ügyekben eljáró hatóság tudomására jutott volna - tevékenységét a hatóság előtt felfedi, az elkészített dolgot a hatóságnak átadja, és lehetővé teszi a készítésben részt vevő más személy kilétének megállapítását.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Döbbenetesen primitív megfogalmazás. Egy kodifikátortól többet várnánk el.


Normális HUP-ot használok!

Valahogy csak le kell ellenőrizni, hogy sikerült-e a javítás? :)

--
openSUSE - KDE user

a) Lehet, hogy egyes cégek úgy gondolnák különben, hogy egyszerűbb beírni a crontabba, hogy 14 naponta kérünk még 14 napot, mint megkeresni a hibát, és kijavítani. Aztán meg rájön valaki, aki nem jóindulatúan keresni, és szív mindenki. Így meg a hírt interpretálhatod úgy is, hogy "az edge lyukas, ne használd/óvatosan használd".

b) Talán lehet tanulni belőle, hogy más esetben ne kövessenek el a fejlesztők hasonló hibát.

Talán azért, mert a Google Chrome az Edge konkurrense?

--
robyboy

Ezt meg pont azért teszik így, hogy ne érhesse szó a ház elejét :)

--
robyboy

az 1300 issue közül mindössze 64 érinti a google termékeit. Pl. az Android Security Bulletin-ben szereplő hibák javításának többsége több, mint 90 napja kapott CVE ID-t mégsem követték a disclosure deadline-t.

Esetleg mert kevésbé szar?

Tavalyi év statisztikája:

| Vendor Name | Number of Vulnerabilities |      |
|-------------|---------------------------|------|
| 1           | Google                    | 1000 |
| 2           | Oracle                    | 872  |
| 3           | Microsoft                 | 698  |
| 4           | IBM                       | 683  |
| 5           | Apple                     | 591  |

via https://www.cvedetails.com/top-50-vendors.php?year=2017

Bocs, nem tudtam, hogy _ennyire_ rühelled a Google-t, hogy képes voltál statisztikát is készíteni :)

Nem rühellem és a statisztikát nem én készítettem, hanem a weboldal. Szeretem látni a tényeket és érdekelt hogy van-e alapja a "kevésbé szarbb" állításnak.

HUP-ot olvasva totál abban a hitben éltem, hogy az Apple az első.

--
robyboy

2015-ben az volt!

A project zero elmondásuk alapján azért jött létre, hogy az internet biztonságát növelje. Egy hiba részletes leírásának közzététele a javítás előtt nem látom hogy szolgálná ezt a célt.

A P0 előzménye, hogy betörtek a Google-höz, ami akkor Windows munkaállomásokat használt, mert a Microsoft akkor is baszott javítani.

--
trey @ gépház

cca. 100 nap egy kritikus hiba javitasara (de legalabb workaround-ra) bosegesen elegendo. Ha nem, akkor nem vettek komolyan/kritikusnak.

Nalunk hasonlo helyzetben par nap utan mar az executive VP liheg a nyakadba, hogy mivanmar.

Kis cegeknel lehet, hogy elegendo, de nagyoknal keves lehet.

Reszlet az ehavi Android Security Bulletin-bol:

CVE-2017-13230 A-65483665 RCE Critical 5.1.1, 6.0, 6.0.1
author - Naveen Kumar P - Thu Jul 06 16:11:17 2017 +0530

Tehat elvileg julius ota letezett egy fix egy tavoli kodfuttatasra alkalmas hibara, de csak most mergeltek be.

(az osszes tobbi hiba is 2017-es CVE-vel rendelkezik)

Ez alapjan ok a bug reporttol szamitott 90 napot varnak el mastol, sajat maguknak meg a fixtol szamitott 180 nap is elfogadhato.

Öh, ez project zero-s link?

Nem, mivel a saját termékekben talált hibákat nem a project zero-n belül kezelik (lásd lentebb)

mhm

Szerintem egyszerűen csak azokat a hibákat teszik közzé, amit ők találnak (mármint a Project Zero)
--
openSUSE - KDE user

nem vettek komolyan.
nekem ne mondja senki, hogy legalabb egy b*tt workaroundot nem tudnak 3 honap alatt kiadni magukbol!
mai fejlesztesi tempo mellett 3 honap alatt a legtobb frameworkot felig ujrairtak mar.

egyszeruen szarnak bele, le-prioritizaljak, azert nincs kesz. bugfix nem hoz bevetelt. az uj feature-ok igen.

Sehogy. Látni kell, hogy az a Google csicskázza a Microsoft-ot, aki a fragmentált Androiddal kicsit több sebezhetőséget adott a világnak. Az nem vigasz, hogy ez persze a gyártókon (is) múlik.

--
robyboy