A Microsoft hallgat, a ZERT patch-el

 ( trey | 2006. szeptember 24., vasárnap - 8:29 )

Lassan egy hete írtam, hogy kritikus hiba van a Microsoft IE böngészőjében, amely önmagában nem meglepő, viszont az teszi ezt különösen veszélyessé, hogy működő exploit van hozzá közkézen (bárki által letölthető az internetről). Most úgy tűnik, hogy újabb kritikus sebezhetőséggel kell számolnunk. A gyártó még nem javította ezt a hibát sem, ezért külsős szervezet döntött úgy, hogy javít ahelyett, akinek javítania kellene.

A Zeroday Emergency Response Team azután alakult meg, hogy tavaly év végén a Microsoft hasonló tehetetlenséggel figyelte, amint a WMF sebezhetőséggel küzdenek a felhasználók. Akkor egy ideiglenes javítás adott átmeneti védelmet a felhasználóknak addig, amíg a Microsoft végre kiadta a hivatalos javítást.

A ZERT kiváló, biztonsággal foglalkozó önkéntes szakemberekből áll. A csapat célja, hogy "non-vendor" (nem a gyártó által kiadott) patch-eket szállítson, ha úgynevezett "0day" (zero-day) exploit bukkan fel az interneten. A ZERT a legutóbbi, ezidáig hivatalos javítás nélkül levő VML hibára is készített átmeneti javítást. A puffer túlcsordulásos sebezhetőség a Microsoft Internet Explorer és Outlook által is(?) használt Vector Markup Language (VML) motorban (VGX.DLL) van.

A ZERT weboldaláról elérhető a hiba leírása, a kézzel történő semlegesítésének módja, és letölthető az ideiglenes patch GUI-s és parancsori patch kivitelben.

A Slashdot egyik mai cikke szerint támadók egy a cPanel (hosting cégek által gyakran használt menedzsment) szoftverben levő hibát kihasználva, feltörik a szolgáltatók szervereit, és ott hostolt domain-ek százait használják fel arra, hogy malware-t és spyware-t terjesszenek, kihasználva a javítatlan VML sebezhetőséget. IE használóknak tehát érdemes lehet patch-elni.

Háttérinfók itt. A ZERT idevágó oldala itt.

Kapcsolódó figyelmeztetések:
Internet Explorer daxctle.ocx "KeyFrame()" Method Vulnerability (extremely critical, unpatched)
Microsoft Vector Graphics Rendering Library Buffer Overflow (extremely critical, unpatched)

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

>ezért külsős szervezet döntött úgy, hogy javít ahelyett, akinek javítania kellene.

A M$-nál is alakul a közösségi fejlesztési modell;)))

Most nemrég volt egy biztonsági hiba a DRMjükben, állítólag a leggyorsabb hibajavításuk volt eddig..

Software is like sex, it's better with a penguin. :D (r)(tm)(c)

no igen... mindkettőben feltehetően csak az érdek a diktáló. ilyenkor az ember elmereng azon a paranoidnak nevezett ötleten, hogy az ms eladja az exploitjait, majd amikor már nagy a hőzöngés, akkor javítja. addigra meg már megvan a "terítés". hurrá. szeressük őket...

Ez nem paranoia. Ez tény. Gondolj csak arra, hogy hány marketingcélból Windows -ra készült trójai fölött hunynak szemet a keresőprogramok mostanság. Gondolok itt a Microsoft saját biztonsági szoftvereire is.
Emellett még van pofája némelyik marketingcsürhének perrel fenyegetőzni, ha egyes biztonsági cégek fütyülnek a megállapodásra és a szoftvereiket felkészítik a kérdéses kártevők eltávolítására.

én sem tartom igazi paranoiának, de nem akarok az acsarkodóknak tápot adni a "fujj windows" bélyeg felragasztására. elvannak azok nélkülem is.

Ilyenkor valahogy kíváncsi vagyok Ballmer úr képére, amikor megtudja, hogy újabb kritikus biztonsági hiba van a "böngésző"jükben.

El bírom képzelni, hogy hogy mennek ott a dolgok...

Egy kritikus minősítésű biztonsági hiba, ami emberek millióit érinti.
Egy kis szemöldökrántás.
Majd már működő exploit.
Aztán szemöldökfelhúzás.
Aztán biztonsági rés javítva külsős által.
Huh, megnyugvás. Egy újabb hónapunk van a hiba javításának kiadásáig...

Nincsen kakaó a reggelihez.
Szakácshoz székvagdosás :)

És...
Bár még a Cavintonomat nem vettem be, de mintha "sarkalatos" érv lett volna a zárt forráskód mellett, hogy idejekorán kijönnek a javítások.
Avagy netán csak egy marketingfogással állunk szemben? (talán HYPE?)

(((vagy újabb FUD a nyílt forrással szemben)))

Én csak arra lennék kíváncsi, hogy még hány hibát találnak biztonsági hibát az IE-ben?

Lévén, hogy az utóbbi időben mintha igen sok hibát már javítottak volna.

No! de mikor lesz már vége ennek a hibataláló/javító folyamatnak?
Avagy mikor lesz végre kész állapotban e böngésző?

Szóval vannak kérdések...

Mikor lesz vége? Amikor az összes többi szoftvernél. Soha.

A "hello world"-nél nagyobb bonyolultságú programokban mindig előfordulhat hiba, és ha előfordulhat, akkor elő is fog, mivel emberek készítik. Azt is elképzelhetőnek tartom, hogy valaki a "hello world"-öt is el tudja szúrni.

--
trey @ gépház

A sztechtanárom pascalban 10 syntax errort tett bele :P Félregépeléstől a sorzárás kihagyásán át a ' helyett `-ig mindent.

Ja és 10 éve tanított sztechet a suliban. Mondanom se kell, az osztályom időszaka alatt valahogy megszűnt a munkaviszonya ;)

De sebaj, jön a hello world 1.1.

Megvarja az M$ mig valaki, akik naluk jobban ert hozza, kijavitja a bugot, aztan ok beepitik a hivatalos verzioba. Ez egyaltalan nem rossz szandeku keslekedes, csak sajnos ok nem ertenek a sajat szoftverukhoz (se) :D. Ez csak azert van, hogy jobb szolgaltatasokat tudjanak nyujtani ... :D

Meg egy dolog eszembe jutott :D :
A patchet GPL alatt kene kiadni, hatha nyilt forrasuva valna tole az IE :D

GPL patch IE-hez ez naggyon yo!
-Bár ahogy a sudo-t patentolták nem okozna gondot a pecs lenyúlása sem.

Nem az a kerdes mi a rosz az IE-ben, hanem hogy mi a jo?:)
Kellene irni egy listat mindenkinek, erre a kerdesre: Azert szeretem az IE-t mert:
es johetnek az IE jo tulajdonsagai:)

Hibakat nem erdemes leirni, mert az M$ fele programok forrasanak 99%-a hibas, a maradek 1% meg a kommentek benne XD..

Az igaz, hogy minden programban lehetnek hibák, mert ez törvényszerű ám az már erős kritika a szoftverrel szemben, ha fordított az arány, vagyis teszemazt áll kb. 300 000 programsorból és az arány:

10 sor kódban 1 hibás sor helyett 1 hibátlan sorra 10 hibás sor.

Valami hasonló lehet az IE-nél az arány.

Az + "urban legend", hogy lehetetlen hibátlanul programozni. Hallottam (egy barátom mondta), hogy van egy programozó, aki pénzjutalmat tűzött ki annak aki a programjában hibát talál.

Gondolom nem csak én hallottam ilyenről?

Mindemellett pedig nem egy pársoros kódról van szó.
Csakhát nem MS program az is biztos.
Ez utóbbi arra van "kihegyezve" hogy szépen írja ki, hogy mennyire nyerő választás volt, hogy feltelepítetted a gépedre, és, hogy milyen ügyes vagy, hogy ezt a kiválló programot használod...

> aki pénzjutalmat tűzött

Igen, djb szemelyesen. (qmail, djbdns s egyeb nagyszeru programok szerzoje)

Jah, aztán Georgi Guninski tavaly mutatott is egy hibát a qmailben, amelynek kihasználásával root hozzáférést lehet szerezni... A pénzt tudtommal nem kapta meg, szóval djb-ről meg úgy általában a 'bugfree software' mítoszokról ennyit. ;)

http://cr.yp.to/qmail/guarantee.html

In May 2005, Georgi Guninski claimed that some potential 64-bit portability problems allowed a ``remote exploit in qmail-smtpd.'' This claim is denied. Nobody gives gigabytes of memory to each qmail-smtpd process, so there is no problem with qmail's assumption that allocated array lengths fit comfortably into 32 bits.

Na persze :-)

Nobody gives gigabytes of memory to each qmail-smtpd process

Ez egy tipikus ferdítése djb-nek... Ha valaki az ő által leírt módszerrel telepíti a qmail-t (azon instrukciók alapján, amely a qmail INSTALL fájlban van), akkor nincs semmiféle figyelmeztetés vagy beállítás a qmail-stmpd processz korlátozására, tehát a default telepítésnél kihasználható a hiba. Innentől kezdve az csak egy gyenge feltételezés, hogy majd valakinek eszébe jut lekorlátozni a qmail max. virtuális memória használatát.

Nem azt írta, hogy nincs hiba a programjában, hanem azt, hogy nincs olyan hiba, amit kihasználva security breach lesz. Nem emlékszem, de leírta, hogy ha ezt vagy amazt meg tudod
csinálni, akkor fizet.
Ha más hibát találsz, amivel a felsoroltakat nem lehet megtenni, akkor nem fizet.

Ez azért nem ugyanaz, mint a hibátlan szopper.
G

"Az + "urban legend", hogy lehetetlen hibátlanul programozni. Hallottam (egy barátom mondta), hogy van egy programozó, aki pénzjutalmat tűzött ki annak aki a programjában hibát talál."

Én is urban legendként hallottam, hogy a Donald Knuth által elkövetett eredeti TeX implementációban eddig nem fedeztek fel programozási hibát. (Pedig az se kis rendszer...)

Megerősíteni vagy cáfolni tudja valaki?

Kösz!

Ezek szerint ebben is volt bug, ha nem is sok.

Jah. Meg egy TeX-ben senki sem volt (security) bugot keresni, mert kevésbé lehetne kihasználni. Csúnya hasonlat, de talán így érthető: a terrorista sem a lakatlan vályogkunyhóba fogja beleirányítani a repülőt...

Hm, azért ki lehetne használni, rendesen.
Elég sok olyan szerver van a neten, ahova feltölthetsz kéziratot TeX-ben, és online generál belőle ps-t, pdf-et, vagy bármit az olvasóknak.
Inkább arról lehet szó, hogy a TeX-et először magának írta, szépen, lassan. Ez egészen más fejlesztési modell, mind egy böngésző, ami ráadásul igencsak versenyhelyzetben készült (ugye éppen akkor akarták megölni a Netscape-et), és minden új funkció tegnapra kellett.
Szvsz arról van szó, hogy az IE-n most kezd meglátszani, hogy mi is: egy rohammunkában összegányolt program, aminek egyetlen célja volt a fejlesztés során: gyorsabban elkefélni a szabványokat, mint ahogy azt a Netscape-nél követni tudják.

Elég sok olyan szerver van a neten, ahova feltölthetsz kéziratot TeX-ben, és online generál belőle ps-t, pdf-et, vagy bármit az olvasóknak.

Mennyi az a sok? 10? 20? 50? 100?

IE-t hányan használnak? 10 milliárd? 20 milliárd? 50 milliárd? 100 milliárd?

Teccikérteni? Csak egy kis nagyságrendi különbség van... :)

Ettől függetlenül abban nyilván igazad van, hogy Knuth-ot nem hajtotta annyira a tatár amikor írta a TeX-et.

Hunger írta:
Elég sok olyan szerver van a neten, ahova feltölthetsz kéziratot TeX-ben, és online generál belőle ps-t, pdf-et, vagy bármit az olvasóknak.

Mennyi az a sok? 10? 20? 50? 100?

IE-t hányan használnak? 10 milliárd? 20 milliárd? 50 milliárd? 100 milliárd?

Ó, bár fordulna meg az arány csak félórára... :-P
--
Mortal Kombat's gimmikk was to replake all instankes of the letter 'C' with the letter 'K' (bekause of that feature, it was one of the first applikations to bekome part of KDE).

Az + "urban legend", hogy lehetetlen hibátlanul programozni.

Nem lehetetlen, csupán emberi mivoltunkból fakadó probléma...

Hallottam (egy barátom mondta), hogy van egy programozó, aki pénzjutalmat tűzött ki annak aki a programjában hibát talál.

Attól hogy valaki pénzjutalmat tűz ki még nem jelenti azt, hogy a programjában nincs hiba, igaz-e?

Aki olyanokat állít, hogy lehet bugfree szoftvert írni, az komoly programot még sosem írt...

Nos. Mr. Nemúgyvanaz-nak egy kis infó:

A program a TeX, a programozó Donald Knuth matematikus. Lásd az alábbi
idézetet:

"TeX

Donald E. Knuth által, elsõsorban matematikai és egyéb bonyolult képleteket tartalmazó dokumentumok nyomdai minőségű elõállítására szolgáló
program- és dokumentumleíró nyelv. Legelsõ változatát a szerző maga készítette el, és "A számítógép-programozás művészete" címû, hétkötetesre tervezett könyvéhez használta fel.

Érdekessége, hogy Knuth a 1981-ben következő ajánlatot tette: aki az elsõ hibát megtalálja a TeX-ben, annak 1 centet utal át; és minden következőnek
kétszer annyit, amennyit az előzőnek. Mind a mai napig nem kellett 300 dollárnál többet átutalnia..."

Forrás: http://wiki.hup.hu/index.php/TeX

Egyébként nem egy triviálisan egyszerű programról van szó, lásd az alábbi idézetet:

"Ezzel párhuzamosan készítette el a TeX szövegkészítő programnyelv első verzióját, mellyel eredetileg az volt a célja, hogy A számítógép-programozás művészete c. könyv fárasztó tárgymutató- és tartalomjegyzék-összeállítását lerövidítse. 1984-ben kibővítette a TeX-ről írt könyvet The TeXbook címmel. Ez a majdnem 500 oldalas könyv fergeteges sikert aratott: azóta (1995-ig) 26 kiadást ért meg. Knuth közreadta a TeX
forrásszövegét is a TeX: The Program (1986) című könyvében, mintegy 600 oldalon."

Forrás: http://www.math.u-szeged.hu/~kovzol/szt/DEK/Knuth.html

Tehát a program forráskódja kb. 600 nyomtatott oldal...
----------------------------------------------------
Tehát a Microsoftnak is legalább "e minta szerint" kellene programoznia.
Vagyis ennyire kevés hibával.

Nos. Mr. Nemúgyvanaz-nak egy kis infó

Nagyon ügyes vagy, hogy be tudsz kopizni a wikiből hosszas leírásokat, hogy mi az a TeX, de igazából nem tudom mi célból tetted ezt, tekintve, hogy veled ellentétben én tudom mi az a TeX, mert ifjú egyetemista koromban abban írtam a dolgozataim egy részét (igaz leginkább LaTeX-ben).

aki az elsõ hibát megtalálja a TeX-ben, annak 1 centet utal át; és minden következőnek
kétszer annyit, amennyit az előzőnek. Mind a mai napig nem kellett 300 dollárnál többet átutalnia..."

Akkor tehát ebből mi is derül ki? Hogy nem volt benne egy hiba sem? (Mert ugye ez volt az urban legend...)

Egyébként nem egy triviálisan egyszerű programról van szó, lásd az alábbi idézetet:

Újabb felesleges copy-paste a TeX-ről. (Szerintem rajtad kívűl mindenki tudja, hogy mi az a TeX.)

Tehát a program forráskódja kb. 600 nyomtatott oldal...
Tehát a Microsoftnak is legalább "e minta szerint" kellene programoznia.

Tehát-tehát. A Microsoft szoftvereinek forráskódja hány nyomtatott oldal, megtudnád mondani? ;)

Hunger írta:
Tehát-tehát. A Microsoft szoftvereinek forráskódja hány nyomtatott oldal, megtudnád mondani? ;)

minixes hír kommentjei közt keresgélj :-)
--
Mortal Kombat's gimmikk was to replake all instankes of the letter 'C' with the letter 'K' (bekause of that feature, it was one of the first applikations to bekome part of KDE).

Tiszta sor, hogy "Aki dolgozik, az hibázik"
Viszont aki programoz az is hibázik, de itt nem arról van szó, hogy ne hibázzon.

Egyszerűen arról, hogy nem mindegy, hogy bennehagyja-e a programjában a hibákat vagy nem.

Gondolom a debuggereket erre fejlesztették ki nem?

Az meg önkririka ha 3-5-...sok év múlva kerül csak javításra a hiba!

Az meg önkririka ha 3-5-...sok év múlva kerül csak javításra a hiba!

Mutassak neked néhány bugot, amely 3-5-...sok év múlva került csak javításra a Linuxban?
Speciel van olyan, amely már a legelső (0.01) verzió óta benne volt és csak most nem rég került javításra (tehát több mint 15 év után). Kérdezd meg PaXTeam-et, tudna mesélni... ;)

Szóval, hallod Linus? ÖNKRITIKA! :-P