Az eEye értesítette az MS-t, hogy kihasználható hiba van a hibajavító patch-ben. Ezután a Microsoft egy online figyelmeztetőben értesítette az ügyfeleit, hogy a patch-elt IE bizonyos esetekben összeomlik weboldalak meglátogatásakor, majd ígéretet tett, hogy újra kiadja a patch-et, javítva. A javított patch kiadásáig csak a fizető ügyfelek részére tett elérhetővé egy hotfix-et.
A javított patch kiadásáig a Microsoft titkolni akarta a hiba konkrét jellegét és súlyosságát. Az infó kiszivárgott de vajon ki hibázott?
A Microsoft két embere, Tony Chor és Stephen Toulouse az eEye-t, és személy szerint Marc Maiffret-et okolja az infók "felelőtlen kiszivárogtatásáért". Maiffret szerint pedig a Microsoft az oka az infók kiszivárogtatásának, hiszen a figyelmeztetőjében leírt mindent, ami ahhoz kell, hogy az exploit írók tudják hol kelljen keresgélni.
Maiffret szerint a Microsoft négyszeresen hibázott: a minőség-ellenőrzésnél, azzal, hogy hibát tettek a patch-be, azzal, hogy megpróbálták eltitkolni, és végül azzal, hogy a figyelmeztetőben maguk mutattak utat az exploit íróknak.
Szóval ment az egymásra mutogatás. Egy dologban értettek csak egyet, a felhasználóknak védeniük kell magukat.
Bővebben itt.
Ezen előzmények után a Microsoft tegnap végre kiadta a javított patch-et. Bővebben itt.
- A hozzászóláshoz be kell jelentkezni
- 2915 megtekintés
Hozzászólások
lol...
Vajon a MS-t is magyar politikusok vezetik? :D
- A hozzászóláshoz be kell jelentkezni
Nem hinném, mert ahogy elnézem, ők értenek a pénszerzéhez. :-)
Ja, és csinálnak is valamit (elvileg).
--
Mortal Kombat's gimmikk was to replake all instankes of the letter 'C' with the letter 'K' (bekause of that feature, it was one of the first applikations to bekome part of KDE).
- A hozzászóláshoz be kell jelentkezni
A magyar politikusok is értenek a pénz szerzéshez. Csak ők nem adják oda senki másnak.
- A hozzászóláshoz be kell jelentkezni
Kurvara nem... az Ongerjeszto vasarlast ne nevezzuk jol megtervezett strategianak...
- A hozzászóláshoz be kell jelentkezni
omlik ossze a cucc, nem tartja mar ossze a cellux;))
- A hozzászóláshoz be kell jelentkezni
amen.
- A hozzászóláshoz be kell jelentkezni
Távoli kódfuttatás vs. elneminduló Xserver. Eközött az a különbség, mint a víziló és a kabátgomb közt: egyikben sincs mazsola.
--
Mortal Kombat's gimmikk was to replake all instankes of the letter 'C' with the letter 'K' (bekause of that feature, it was one of the first applikations to bekome part of KDE).
- A hozzászóláshoz be kell jelentkezni
Viszont érdemes megnézni a két cég reakcióját. Az egyik szinte sértetten vádaskodik a bugreportoló felé, a másik meg mindent megtesz, hogy elnézést kérjen, hogy enyhítse valamiképp a hibáját.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Na, ezért meg fogod kapni a magadét. :-)
Amúgy meg jogos észrevétel, de én ilyen Microsoft-féle maszlagokat úgysem olvasok (ld. másik hír).
--
Mortal Kombat's gimmikk was to replake all instankes of the letter 'C' with the letter 'K' (bekause of that feature, it was one of the first applikations to bekome part of KDE).
- A hozzászóláshoz be kell jelentkezni
Én ezen nem csodálkozok. Egy általam nagyra becsült biztonságtechnikával foglalkozó emberke mondotta egyszer azt, hogy egy átlagos hibajavítás három új hibát hoz a szoftverbe. Ergo, ha van 100 hibád, amit javítasz, csinálsz sokszáz másikat a helyére, ésígytovább, ésígytovább....
Morzel
- A hozzászóláshoz be kell jelentkezni
Azert azt tegyuk hozza, hogy ebben a formaban ez nem feltetlenul igaz, hiszen gondolj csak bele, egy szoftver fejlesztese is ugy zajlik, hogy lepesrol-lepesre beleteszel egy funkciot, teszteled, ha van benne hiba korrigalod, ha neincs akkor epited bele a kovetkezo funkciot (pongyolan fogalmaztam, ne tessek szabogatni engemet erzekeny lelku kollegak :-) ). Tehat, ha a fenti altalanos problema lenne, akkor meg mukodokepes szoftver nem szuletett volna. :-)
A fenti allitas _altalaban_ akkor igaz, amikor mar volt egy vagy tobb release es vigyazgatnod kell az API-kra, hogy a leheto legkevesebb dolgot erintse a patch (ha olyan a szitu), esetleg workaroundot kell bevetni, hogy az API sertetlen maradjon. Ugye a workaround meg olyan, hogy ha halmozod akkor magadat nehezited meg a kesobbi karbantartasoknal.
Nem vedem az MS-t de ilyen szempontbol ok sajat maguknak astak vermet a zart technologiakkal, hiszen rengetegen raepitkeztek es vannak alapok (API-k) amelyekhez egyszeruen nem nyulhatnak, mert borul az egesz "haz" is ami ra epult es ma mar a patcheles jobbara workaround-bol all. Ezert tart egy minosegellenorzesi procedura is hetekig-honapokig sokszor, mert az API-t vedeni kell. Ez abban is megneheziti a dolgukat, hogy alapveto konstrukcios hibakat dolgozzanak at, mert ha nem figyelnek a kompatibilitasra visszafele es a usernek ujra kell netan iratni egy szoftvert akkor nagy ra az esely, hogy legkozelebb (ha mar egyszer nagyobb melorol van szo) egy nyilt szabvanyokon allo platformra fog epitkezni.
---------------------
Minél korszakalkotóbb ötlettel állsz elő, annál több hülyén kell átverekedned magadat.
- A hozzászóláshoz be kell jelentkezni
Azert azt tegyuk hozza, hogy ebben a formaban ez nem feltetlenul igaz, hiszen gondolj csak bele, egy szoftver fejlesztese is ugy zajlik, hogy lepesrol-lepesre beleteszel egy funkciot, teszteled, ha van benne hiba korrigalod, ha neincs akkor epited bele a kovetkezo funkciot (pongyolan fogalmaztam, ne tessek szabogatni engemet erzekeny lelku kollegak :-) ). Tehat, ha a fenti altalanos problema lenne, akkor meg mukodokepes szoftver nem szuletett volna. :-)
Hááát, azért ezzel vitatkoznék. Ha így menne a szoftverfejlesztés, akkor kíváncsi vagyok, hogy egy nagyobb project mennyi idő alatt készülne el. A fejlesztés menetében (ha nem számítjuk az ad-hoc módszert), nagyon a fejlesztési fázis vége fele van már a kódolás és a hibatesztelés.
Morzel
- A hozzászóláshoz be kell jelentkezni
kíváncsi vagyok, hogy egy nagyobb project mennyi idő alatt készülne el
Sokkal rövidebb idő alatt, mintha a csapat csak 100 000 kódsor beírása után nézné meg először, hogy mi a fenét is csinál, amit három hónapja gépelnek...
KisKresz
- A hozzászóláshoz be kell jelentkezni
Értem. És szerinted 100 000 kódsoronként kell tesztelni? És szerinted a program tervében nincsen hajszál pontosan leírva, hogy a program melyik része mit fog csinálni?
Morzel
- A hozzászóláshoz be kell jelentkezni
"Értem. És szerinted 100 000 kódsoronként kell tesztelni?"
Nem. Szerinted kell 100 000 soronként tesztelni: 'A fejlesztés menetében (ha nem számítjuk az ad-hoc módszert), nagyon a fejlesztési fázis vége fele van már a kódolás és a hibatesztelés.'
"És szerinted a program tervében nincsen hajszál pontosan leírva, hogy a program melyik része mit fog csinálni?"
Én még sohasem láttam olyan specifikációt, ami pontosan leírta volna, mit is kell csinálni. De ez nyilván az én problémám. Viszont teszteket (unit teszteket) azért ír az ember, hogy megbizonyosodjon arról, a kód azt csinálja, amit kell (ami a specifikációban áll), vagyis nem hibás a kód, amit írtunk. Gyengébbek kedvéért: a kód mindig hibás, amit írunk, csak idővel kijavítjuk. Ha vannak tesztek, hamar. Ha nincsenek... bukott projekt.
KisKresz
- A hozzászóláshoz be kell jelentkezni
Aha. Akkor mi ketten ugyanazt mondjuk pepitában.
Morzel
- A hozzászóláshoz be kell jelentkezni
Nagy szellemek, ha találkoznak... :-)))
KisKresz
- A hozzászóláshoz be kell jelentkezni