» »

Popravkasti četrtek in torek

Popravkasti četrtek in torek

Slo-Tech - Microsoft se je odločil, da bo prvi varnostni popravek letos, ki pokrpa luknjo v Windows Metafile datotekah, vseeno izdal predčasno, za razlog pa navajajo predčasno končano testiranje popravka in pa močne pozive uporabnikov, ki so vpili po popravku.

Na voljo so informacije o popravku MS06-001, prijava na TechNet spletno predstavitev luknje in stvari, ki jih morate vedeti o popravku. Prenesite popravek ročno ali pa se odpravite na Windows update še danes!

Obenem pa Microsoft napoveduje, da v torek izideta še dva popravka, eden za Windows in eden za Pisarno.

Hvala denial-u in RejZoR-ju, ki sta nas opozorila na novost.

32 komentarjev

die_hart ::

lepo>:D

just_a_cook ::

Kaj pa ce imas win 2000?
==================
Just a cook

Pithlit ::

*duh*

"Microsoft Windows 2000 Service Pack 4 – Download the update"
Life is as complicated as we make it...

B-D_ ::

Lepo, da tale popravek lahko downloadamo direktno brez workarounda dokazovanja če si res "genuine bumbar". :D Pohvalno.

Pithlit ::

Komaj čakam, da bo dokazovanje lastništva pravic do uporabe programov obvezna za vsakogar.
Life is as complicated as we make it...

denial ::

"Specifically, the change introduced to address this vulnerability removes the support for the SETABORTPROC record type from the META_ESCAPE record in a WMF image. This update does not remove support for ABORTPROC functions registered by application SetAbortProc() API calls." from Microsoft Security Bulletin MS06-001

Ilfak Guilfanov neuraden patch je počel nekaj podobnega. Vendar na drugačen način: z in-memory hookingom Escape funkcije. Očitno je Microsoft preprosto disejblal SETABORTPROC escape sekvenco v Escape() in rekompajlal GDI32.dll

Sicer pa, le zakaj ne? They got the source...

Matevžk ::

B-D_, saj so rekli, da bodo security updati šli mimo tega preverjanja, ker oni so good-guys in nočjo nesnage na netu:) Kar je hkrati prijazna gesta tudi tistim, ki so za windowse plačali, saj je zadeva res taka: več nesnage -> slabše delovanje Windowsov.
lp, Matevžk

#000000 ::

Se pravi lahko Ilfak Guilfanov neuradni popravek odinstaliramo ali ga še mal pustimo 'za svaki slučaj' LP

SXR ::

To da si "genuine bumbar" in piratiziraš licenčni produkt ter hkrati kršiš zakon nima nobenega workarounda. >:D
You can talk rationaly about kernel design, the issue of free-ness is emotional.

BoLhCa ::

lihkar se zbudu, vidm ikonco za update v tray-u pa sm sou tkoj preprat na slo-tech zakaj se gre:) Way to go:D

Lp
...::: Diablo III :::...

Zgodovina sprememb…

Jeebs ::

Ampak bo pa prov čudež, če bo (de)Billy naredu en tak OS, k ga ne bo treba glih vsak teden rebootat. ;(
Press any key to continue... RESET. Didn't you say ANY key?!?!?!

jype ::

http://blogs.securiteam.com/index.php/a...

Going down?

#000000: lahko ga pustis, ker ti windows update istega instalira :)

Zgodovina sprememb…

  • spremenilo: jype ()

smash ::

Jeebs: sej ga ni treba

MrStein ::

#000000 :
Se pravi lahko Ilfak Guilfanov neuradni popravek odinstaliramo ali ga še mal pustimo 'za svaki slučaj' LP


En nasvet je v na SANS : Microsoft Patches Released
Teštiram če delaž - umlaut dela: ä ?

pecorin ::

gasilci pridejo teden dni po zacetku pozara(ko jih ze vsaka druga stran na internetu opozarja, da gori) in recejo, da so prisli predcasno :)

RejZoR ::

Popravek je bil uradno planiran 10 januarja 2006. Izdali so ga 5 januarja 2006. To je 5 dni pred rokom. Za exploite pa se o predčasnosti ne more govort razen če imaš ekipo ki noč in dan dreza v sistem iz vseh koncev in odkrijejo zadevo preen dejansko pride v divjino ItW.
Razlog za logično zamudo pa ni bila nesposobnost za odpravitev napake ampak stara dobra združlivost oz QA. Očitno so ugotovil da popolna odstranitev tiste komande ne vpliva na nič in so pač tko nardil.
Bolj gre meni in ostali ekipi Malware Research v nos odnos ljudi, ki odkrijuejo luknje, ker je zadnje čase slednje početje postal zanimiv šport za merjenje spolnih organov, kdo bo hitrje kej objavil.
Kje so že časi ko se ranljivost najprej prijavi razvijalcu, se mu da čas da izdela popravek ter se šele nato v javnost spravi izvorno kodo oz natančen opis kako zadeva sploh deluje. Tko pa smo zaradi ravno te malomarnosti (se temu sploh lahko tko reče?!) v samo parih dneh pokasirali preko 200 različnih variant agentov, ki so uspešno exploital to luknjo. Debilizem? Vsaj moj ogovor je "da"...
RejZoR's Flock of Sheep @ www.rejzor.tk

Matevžk ::

Glede "arogance", lahko bi rekel tudi neodgovornosti, ki bi lahko bila protizakonita, imaš prav. Sicer se mi zdi, da v večini primerov še vedno ljudje delajo tako, ampak če gre za bug v MS produktu, ne :D Stereotipno, verjetno.
lp, Matevžk

MrStein ::

Ja, ampak če ne bi objavili, bi luknja še vedno bila odprta.
Je to boljše ?
Saj je workaround bil znan že praktično od začetka.

Zgubili : nič (OK, blo je malo znoja in vrveža)
Pridobili : ena luknja manj
Teštiram če delaž - umlaut dela: ä ?

hokuto ::

primitivci so vedno vpili in ocitno se kar vpijejo: "shoot the messenger".
doke!

Zgodovina sprememb…

  • spremenil: hokuto ()

RejZoR ::

MrStein, pozabljaš pa eno pomembno dejstvo. Lukenj je verjetno za vse sisteme neomejeno, samo se jih ljudje ne zavedamo(jo).
Če pa jih na luknjo opozoriš in jim celo serviraš izvorno kodo, le kaj neki lahko pol pričakuješ a? Topel stisk roke in pohvalo?
Logično da bo pol vsak lulček, ki zna vsaj malo programirat šel hitro izkoristit priložnost (od tod tud razlog da je blo v tolk kratkem čau tolk različnih variant). Sej če je luknja tam pa da širša javnost ne ve zanjo in jo razvijalec lepo popravi in šele nato da v javnost da je bila najdena ta in ta luknja ni nič narobe, problem nastane ko je vrstni red tega postopka nepravilen in pol se zgodi tisto kar vsi najmanj želimo. Na srečo je bil ta exploit izkoriščen na precej mil način saj je namestil samo kup šare in SpySheriff navlako ter spremenil wallpaper in start page IE6. Lahko bi se končalo huje, recimo v masovnem brisanju MFT tabel al pa čem podobno destruktivnem...
RejZoR's Flock of Sheep @ www.rejzor.tk

Mr.B ::

Malo za gristi : Cyber Security Bulletin 2005 Summary. Če je pravilno je 812 proti 2,328. Kdo je zmagal...
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

B-D_ ::

Za exploite pa se o predčasnosti ne more govort razen če imaš ekipo ki noč in dan dreza v sistem iz vseh koncev in odkrijejo zadevo preen dejansko pride v divjino ItW.

Zveni full znano... morda ker se to dogaja pri open source sistemih? 0:)

Pithlit ::

Rezilce: sej ni tolk problem v napačnem vrstnem redu dogodkov (no... je, ampak ne tolk v tem primeru). Problem je v tem, da je imel MS popravek na voljo praktično takoj, pa ga ni hotu dat ven zaradi neke birokracije (QA). To je veliko bolj neodgovorno kot pa odnos folka do odkritih lukenj.
Life is as complicated as we make it...

Microsoft ::

Jst bi reku, da ga ni dal ven zaradi testiranja. Ne mores ti spacat popravek v pol ure, ga dat na WU, pol pa ugotovit, da v nekaterih primerih ne dela ali dela napacno. In sledi popravek za to, da popravis popravek.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

MrStein ::

Če že žvečimo drek ...

There were 5198 reported vulnerabilities: 812 Windows operating system vulnerabilities; 2328 Unix/Linux operating vulnerabilities; and 2058 Multiple operating system vulnerabilities.


Tile zadnji 2058 so multiple, torej tudi za Windows (lahko vsak preveri).


Z drugimi besedami : Ta statistika ne pove ama nič.

In nekateri bugi iz kategorije "Unix/Linux" nimajo veze z linux-om.

Če je ta ubogi članek edini argument proti linux-u ... ;)
Teštiram če delaž - umlaut dela: ä ?

Matevžk ::

razen če imaš ekipo ki noč in dan dreza v sistem iz vseh koncev in odkrijejo zadevo preen dejansko pride v divjino ItW.
Zveni full znano... morda ker se to dogaja pri open source sistemih?

Ja, seveda je pa to težko (časovno neučinkovito!) početi na sistemu, katerega izvorne kode nimaš (in zato točnega delovanja ne poznaš). Vem, ker se sam ukvarjam z nečim podobnim v naši firmi ("vdiram" v naše produkte) in imam vsaj približno orientacijo, na kaj se moram osredotočiti.
Kar pomeni, da bi moral MS vložiti veliko manpower v to, open-source pa lahko tako "obdeluje" vsak ...
lp, Matevžk

BigWhale ::

Ja, samo ce pises closed source pol si reces: "Ah tega buffer overruna itak ne bo noben opazil..." In gres pa nardis strcat(to, from); Namesto da bi strncat() naredil... :P

Looooooka ::

in 90% opensource kode je tko al tko home projekt ali test projekt,ki ga je en klepec uploadal na freshmeat...cez 1 leto je dobil popularnost in cez en let in pol je blo prepozn da bi napisu kodo tko kot jo je treba...sledijo popravki od 0.1 do 0.9.2.
in si na istem.
a je meu IBM un sistem za kerga so trdil da se v njega ne da udret...al je bil Sun?...in a so udrl v njega.Cist tko da vem ce je nekomu sploh ratal ze fullproof OS napisat.

MrStein ::

Celoten OpenBSD projekt je bil vrstico za vrstico prekontroliran in posledično je imel v zadnjih 8 (o-s-e-m) letih le eno luknjo (remote).

Windows ma kolko ? 3 na leto ?

Ampak pustimo zdaj dejstva ... a ne ?
Teštiram če delaž - umlaut dela: ä ?

Pithlit ::

Jst bi reku, da ga ni dal ven zaradi testiranja. Ne mores ti spacat popravek v pol ure, ga dat na WU, pol pa ugotovit, da v nekaterih primerih ne dela ali dela napacno. In sledi popravek za to, da popravis popravek.

Hmm... po tej logiki MS ne bi nikoli smel izdati Windows* . Se še kdo spomni nekega SP2? Ampak šalo na stran. QA je čist kul zadeva. Problem pa nastane ko nekdo ogroža mojo varnost zaradi neke napake v sistemu. Ko se ta napaka pojavi jo je treba čimprej zakrpat vsaj tako da čim manj pušča. QA gor ali dol. Pa se potem (ko pride čas za izdajo "tapravih" popravkov) poskrbi za primerno "dihtanje" luknje. Saj ni težko narest uninstall flajštr && install dihtunga? Ali pač?

Ne vem no... mogoče je pa boljš da ladja potone namesto da ostane na površju (po zaslugi ene strgane cunje) dokler ne pride v pristanišče?
Life is as complicated as we make it...

denial ::

Pohvalno, da je MS izdal patch pred predvidenim monthly cyclom. Razumljivo je tudi, da je MS porabil nekoliko več časa za testiranje v imenu QA. Yep, QA ter "backward compatibility" so pomembni dejavniki v procesu razvijanja popravkov. Na žalost včasih trajajo preveč časa...

Tole pa ni bil nikakeršen BoF. It was design glitch...

Podpiram full disclosure, ker sem mnenja, da security through obscurity ni rešitev...

RejZoR ::

Evo, še komentar programerja Igor-ja iz Alwil Software (avast!):

I'd put it this way: the solution is rather obvious, so it's not that surprising that two parties come with basically the same fix. As already explained elsewhere, this vulnerability is not really a bug, but rather a feature (that shouldn't be there). So, the solution is simply to remove this feature - there's not much else to do.
RejZoR's Flock of Sheep @ www.rejzor.tk


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

S popravki bogat torek

Oddelek: Novice / Varnost
466609 (4136) MrStein
»

Microsoftov najnovejši paket popravkov

Oddelek: Novice / Varnost
383683 (1740) CaqKa
»

Popravkasti četrtek in torek

Oddelek: Novice / Varnost
323781 (2453) RejZoR
»

Windows švicarski sir z luknjo GDI32 (strani: 1 2 )

Oddelek: Novice / Varnost
538296 (5849) denial
»

Odgovor: "Je Linux bolj varen kot Windows?"

Oddelek: Novice / Operacijski sistemi
121821 (1821) Kaboom

Več podobnih tem