» »

Google spet razkril nezkrpano ranljivost v Windows

Google spet razkril nezkrpano ranljivost v Windows

Slo-Tech - Google je ponovno ujezil Microsoft, saj je spet razkril podrobnosti o varnostni luknji, preden je Microsoft pripravil in izdal popravek zanjo. To se načeloma ne počne, a če proizvajalec luknjičaste programske opreme ne reagira na opozorila o luknji, je to sprejemljiva poteza. Google in Microsoft sta se že pred dvema letoma pregovarjala, ali je 90 dni dovolj dolgo obdobje, da bi proizvajalec moral pokrpati luknje. Google vztraja pri brezpogojnem spoštovanju tega lastnega roka, zato njegovi raziskovalci po 90 dneh od obvestila proizvajalcu luknjo razgrnejo javnosti, medtem ko Microsoft poudarja, da stvari niso črno-bele. Pred tremi meseci se je zgodilo isto in spet je Microsoft tarnal, da se Google obnaša grdo.

To pot se je zgodilo podobno. Google je razkril luknjo v komponenti GDI Library (gdi32.dll), ki napadalcu omogoča dostop do pomnilnika prek okuženih datotek WMF. Prizadeti so vsi operacijski sistemi od Windows Vista do Windows 10. Ranljivost so odkrili v okviru programa Google Project Zero, ki išče ranljivosti v vsej kodi, ne le lastni. Ko kakšno najdejo, obvestijo proizvajalca, 90 dni pozneje pa luknjo priobčijo na spletu. Če popravka še ni, dobimo tako imenovano ranljivost zero-day, ki je zelo nevarna, saj vsi vedo zanjo, prave zaščite pa ni, zato je treba improvizirati.

V konkretnem primeru je Google Microsoft na ranljivost opozoril 9. junija in Microsoft je 15. junija izdal popravek. Žal je bil ta pomanjkljiv, saj so nekatere ranljivosti ostale, na kar je Google Microsoft opozoril 16. novembra. Minil je december, januar in februar, zgodilo pa se ni nič, zato je luknja sedaj razkrita. Možno je, da je Microsoft želel luknjo zakrpati s paketom popravkov 14. februarja, a so ga iz ne povsem pojasnjenih razlogov preložili za nedoločen čas.

9 komentarjev

Turrican ::

Googlova politika je pravilna in 90 dni bi načeloma moralo biti več kot dovolj za odpraviti pomanjkljivosti.

Matthai ::

Še dobro, da Google ni razkril ranljivosti pri Ajpesu. Verjetno bi bil hitro obtožen neodgovornega razkrivanja varnostnih ranljivosti! :))
All those moments will be lost in time, like tears in rain...
Time to die.

Tr0n ::

Hmm, a ni 90 dni vseeno malce dosti?

Bug verjetno hitro najdes in popravis, ce tocno ves, kje je, potem pa je testing, ki traja recimo 2-3 tedna in zadeva se preko Windows update propagira uporabnikom. Kak mesec bi moral bit dovolj.

Zgodovina sprememb…

  • spremenil: Tr0n ()

jype ::

Tr0n> Hmm, a ni 90 dni vseeno malce dosti?

Načeloma bi se spodobilo, da so te reči fleksibilne in da gre za pogajanja, pri katerih tisti, ki napako popravlja, lahko razloži, zakaj potrebuje dodaten čas.

Invictus ::

Tr0n je izjavil:

Hmm, a ni 90 dni vseeno malce dosti?

90 dni zna biti včasih premalo, sploh če je napaka v kodi, ki jo je nekdo napisal pred 10 leti.

Pa tudi inženirji niso kar takoj na voljo, ker imajo prioriteto druge zadeve.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

darkolord ::

jype je izjavil:

Tr0n> Hmm, a ni 90 dni vseeno malce dosti?

Načeloma bi se spodobilo, da so te reči fleksibilne in da gre za pogajanja, pri katerih tisti, ki napako popravlja, lahko razloži, zakaj potrebuje dodaten čas.
Ja, in da tisti na drugi strani to upošteva. Iz prejšnje novice:

... Microsoft nameraval izdati popravka za najnovejši ranljivosti v januarskem paketu popravkov, pa so ju potem prestavili na februar, ker so pri testiranju odkrili nekaj težav z združljivostjo. Google je to vedel, a se je odločil, da izjem ne bo delal ...
spamtrap@hokej.si
spamtrap@gettymobile.si

Zgodovina sprememb…

  • spremenilo: darkolord ()

jype ::

darkolord> Ja, in da tisti na drugi strani to upošteva. Iz prejšnje novice:

Ja, saj moj prispevek je kritika Googla, ne Microsofta.

0patch ::

Mi smo se pa odločili, da enega od teh bugov popravimo. Več na https://0patch.blogspot.si/2017/02/0pat....

Pozdrav,
Stanka, 0patch team

MrStein ::

Kako, če pa jype pravi, da je to nemogoče? ;)
Teštiram če delaž - umlaut dela: ä ?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Google spet razkril nezkrpano ranljivost v Windows

Oddelek: Novice / Varnost
92739 (742) MrStein
»

Google odkril in po dobrem tednu objavil ranljivost v Windows, Microsoft nejevoljen

Oddelek: Novice / Varnost
284833 (2103) nebivedu
»

Google vztraja pri 90-dnevnem roku za odpravo lukenj, Microsoft nejevoljen

Oddelek: Novice / Varnost
347550 (5183) BigWhale
»

Google in Microsoft pri krpanju lukenj s prstom kažeta drug na drugega

Oddelek: Novice / Varnost
75288 (1724) swar

Več podobnih tem