» »

Adobe in Microsoft na konferenci Black Hat

CNet - Microsoft in Adobe sta na varnostni konferenci Black Hat, ki te dni teče v Las Vegasu, objavila, da bo Apple sprejel Microsoftov model informiranja o varnostnih ranljivostih v svoji programski opremi proizvajalcev programske zaščite pred izidom popravkov. Microsoft je program MAPP (Microsoft Active Protections Program) uvedel leta 2008 in od takrat proizvajalcem poroča o varnostnih luknjah pred uradno izdajo popravka, tako da lahko ti pripravijo ustrezno zaščito že prej. Microsoft ocenjuje, da so s tem zmanjšali okno ranljivosti do 75 odstotkov.

Adobe se je zato odločil, da bo ranljivosti v svojih programih istim proizvajalcem razkrival na enak način. Uporabljali bodo enak format, enak način in isti nabor proizvajalcev zaščitne programske opreme. Brad Arkin, ki je v Adobu zadolžen za varnost, je dejal, da nima smisla ponovno izumljati tople vode, zato bodo uporabili pristop iz Redmonda.

Medtem pa je Microsoft na Black Hatu napovedal še Advanced Mitigation Experience Toolkit, ki bo omogočil uporabo tehnologij za zaščito pred napadom (ASLR, Address Space Layout Randomization, in DEP, Data Execution Prevention) tudi na starejših verzijah Windows. Tako bodo razvijalci programske opreme za starejše inačice Windows izkoristili prednosti, ki jih nudita ASLR in DEP.

Kar se tiče politike obveščanja o varnostnih luknjah, Microsoft sedaj zagovarja koordinirano razkritje (coordinated disclosure) in ne odgovornega razkritja (responsible disclosure, obveščanje proizvajalcev prizadete programske opreme) ali polnega razkritja (full disclosure, obveščanje vseh že v začetku). Podjetje raziskovalce vzpodbuja, da se najprej pogovorijo in delajo skupaj z njimi in ne razkrijejo vseh informacij na internetu, četudi se ranljivost že izkorišča.

3 komentarji

robbe ::

da bo Apple sprejel Microsoftov model informiranja o varnostnih ...

Adobe se je zato odločil, da bo ranljivosti ...


Kdo zdaj, Apple ali Adobe?

techfreak :) ::

Adobe.

denial ::

MSFT je napovedal EMETv2 (Enhanced Mitigation Experience Toolkit). Find EMETv1 here. Odlično orodje.

Med "coordinated disclosure" in "responsible dislosure" ni bistvene razlike. Če bi razvijaci plačeval za buge, bi imeli nadzor nad objavo pomanjkljivosti, sicer je to stvar osebnega prepričanja posameznika.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Varnost aplikacij v letu 2009

Oddelek: Novice / Varnost
272200 (1264) boolie
»

Predstavitev Ring -3 rootkitov na BlackHat konferenci

Oddelek: Novice / Varnost
82015 (1479) jype
»

Resna ranljivost v Linuxu: Cheddar Bay

Oddelek: Novice / Varnost
303354 (1982) riba1122
»

Odkrita resna ranljivost v DNS sistemih

Oddelek: Novice / Varnost
284731 (2213) denial

Več podobnih tem