Két kritikus frissítést és további hét, "fontos" besorolású javítást hoz a Microsoft áprilisi frissítőkeddje. Várhatóan kijavítják a Pwn2Own keretében bemutatott hibát is.
https://www.hwsw.hu/hirek/50070/microsoft-patch-tuesday-kedd-frissites-javitas-biztonsag.html
Oldal 1 / 1
Re: Egy hónap után javítja az Explorert a Microsoft
#2
Elküldve: 2013. 04. 08. 12:53
Bennem van a hiba, hogy szóvá teszem, vagy ez tényleg teljesen normális egy szoftvercégtől, hogy:
1) Egy hibajavítást visszatartásában indok lehet, idézem: "A késlekedéshez [...] másrészt a frissítőkedd üteméhez való alkalmazkodás is hozzájárult, na meg az, hogy a hibát élesben valószínűleg nem használják ki támadások egyelőre"
Csak bennem merül fel, hogy "Anyádat valószínüleg!"
2) Egy user space beli (böngésző) program újrainításához a teljes kernel újraindítása tényleg szükséges? Ezt nem hiszem el. Létezne, hogy az Explorer nincs teljesen a userspaceben? Mi a búbánatot keres egy tipikusan támadható felület olyan rétegben, amit nem lehet bármikor fájdalom nélkül eldobni, és gyúrni egy másikat?!
Banyek, én itt valamit nagyon nem értek...
1) Egy hibajavítást visszatartásában indok lehet, idézem: "A késlekedéshez [...] másrészt a frissítőkedd üteméhez való alkalmazkodás is hozzájárult, na meg az, hogy a hibát élesben valószínűleg nem használják ki támadások egyelőre"
Csak bennem merül fel, hogy "Anyádat valószínüleg!"
2) Egy user space beli (böngésző) program újrainításához a teljes kernel újraindítása tényleg szükséges? Ezt nem hiszem el. Létezne, hogy az Explorer nincs teljesen a userspaceben? Mi a búbánatot keres egy tipikusan támadható felület olyan rétegben, amit nem lehet bármikor fájdalom nélkül eldobni, és gyúrni egy másikat?!
Banyek, én itt valamit nagyon nem értek...
#3
Elküldve: 2013. 04. 08. 14:10
@YleGreg: Jellemzően a biztonsági hibák javítása nem egy-két hónap szokott lenni, hanem még annál is sokkal több. Nem csak a Microsoftnál, minden cégnél. A probléma akkor van, ha beüt a zero day, vagyis a foltozatlan hibát kihasználva támadnak. Ilyenkor jön a rendkívüli frissítés, amikor gyakorlatilag vészhelyzetet hirdet a szoftvercég és azonnal kiadja a javítást.
Nem véletlenül van ez egyébként így, a rendszeres javításokra rá lehet szoktatni a rendszergazdákat és ezeket szépen fel is szokták sok helyen tenni - ami jobb, mintha rendszertelen javítások kerülnének fel teljesen véletlenszerűen. A probléma megint az, hogy ha egy aktívan kihasznált hiba javításával késlekedik a gyártó, ebbe futott bele ugye az elmúlt hónapokban többször is az Oracle a Javával, folyamatosan zero day támadások mentek ellene, a frissítések meg csak nem akartak megérkezni.
Nem véletlenül van ez egyébként így, a rendszeres javításokra rá lehet szoktatni a rendszergazdákat és ezeket szépen fel is szokták sok helyen tenni - ami jobb, mintha rendszertelen javítások kerülnének fel teljesen véletlenszerűen. A probléma megint az, hogy ha egy aktívan kihasznált hiba javításával késlekedik a gyártó, ebbe futott bele ugye az elmúlt hónapokban többször is az Oracle a Javával, folyamatosan zero day támadások mentek ellene, a frissítések meg csak nem akartak megérkezni.
#4
Elküldve: 2013. 04. 08. 14:48
Én inkább arra lennék kiváncsi, hogy a Windows 7 SP1 minden olyan gépen, ahol az automatikus frissítés engedélyezve van, beavatkozás nélkül fog-e települni, akkor is, ha korábban el lett rejtve?
"Légy szerény mint én..."
#5
Elküldve: 2013. 04. 08. 15:01
@Gálffy Csaba: Tulajdonképpen jogos, közben eszembe jutott, hogy a versenyen az exploitot nem publikálják azonnal, úgyhgy nem akkora para ha másnap még foltozatlan.
De az a nagyságrendi (néhány óra vs. egy hónap) különbség, hogy "A Google és a Mozilla böngészőjét ért támadás bemutatását követően órákon belül megjelent a megfelelő frissítés, az Internet Explorer azonban máig foltozatlan maradt.", na az azért nem kicsi blama.
Vagy olyan szutyok az IE kódja, hogy félnek hozzányúlni, mert kezelhetetlen? Félnek, hogy egy változtatás az egyik végén az mit ront el a másik végén?
Tudom, csak hőbörgés, de a másik téma is a világ vicces számomra, hogy ezek szerint egy Exchange szervert amin explorer még az életben meg nem volt nyitva, de nyílván fent van, újra kell indítani.
Elképzelem egy *nix admin arcát, amikor azt olvassa egy frissítéskor, hogy Postfix szerverét újra kell indítani mert a teszem azt firefox vagy chrome vagy lynx vagy mittudomén a wget frissítése máshogy nem megy. Szerintem ott bökné magát tökön.
De ezek szerint nincs sok MS alapú storage, mert ha azt is újra kell indítani egy hülye böngésző miatt, az már tényleg a sírva röhögős kategória.
De az a nagyságrendi (néhány óra vs. egy hónap) különbség, hogy "A Google és a Mozilla böngészőjét ért támadás bemutatását követően órákon belül megjelent a megfelelő frissítés, az Internet Explorer azonban máig foltozatlan maradt.", na az azért nem kicsi blama.
Vagy olyan szutyok az IE kódja, hogy félnek hozzányúlni, mert kezelhetetlen? Félnek, hogy egy változtatás az egyik végén az mit ront el a másik végén?
Tudom, csak hőbörgés, de a másik téma is a világ vicces számomra, hogy ezek szerint egy Exchange szervert amin explorer még az életben meg nem volt nyitva, de nyílván fent van, újra kell indítani.
Elképzelem egy *nix admin arcát, amikor azt olvassa egy frissítéskor, hogy Postfix szerverét újra kell indítani mert a teszem azt firefox vagy chrome vagy lynx vagy mittudomén a wget frissítése máshogy nem megy. Szerintem ott bökné magát tökön.
De ezek szerint nincs sok MS alapú storage, mert ha azt is újra kell indítani egy hülye böngésző miatt, az már tényleg a sírva röhögős kategória.
#6
Elküldve: 2013. 04. 08. 15:25
@YleGreg: Core installáció? ahogy a cikkben is szerepel. Persze én sem telepítettem még Coret, de erre lenne
Téma megosztása:
Oldal 1 / 1