Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Perjantai, 13.12.2002

Microsoft paikkasi kahdeksan Java-virtuaalikoneen haavoittuvuutta

Microsoft on julkaissut kriittiseksi luokittelemansa tietoturvapäivityksen useimpien Windows-käyttöjärjestelmien mukaan tulevalle Java-virtuaalikoneelle (JVM). Kaikki Windows-koneet joissa käytetään Microsoftin virtuaalikoneesta versiota 5.0.3805 tai vanhempaa ovat alttiina hyökkäyksille. Virtuaalikoneen version voi tarkistaa ajamalla komentoikkunassa komennon "jview".

Pahimmat virtuaalikoneessa olevat tietoturva-aukot mahdollistavat hyökkääjälle järjestelmän haltuunoton. Microsoft suosittelee kaikkia asiakkaitaan päivittämään virtuaalikoneen versioon 5.0.3809, jossa haavoittuvuudet on korjattu. Päivitysversio on saatavissa Windows Update -palvelun kautta.

Lue juttu oma, 13.12.2002 00:14. Lähde: Microsoft

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 12 uutta / 12 )
pistettä.
Näytä vain kommentit joilla on vähintään
sp3 päivitys
Anonyymi kommentoija, 13.12.2002 00:42:03		 Pisteet: 0
hieman offtopic mutta tuliko windows 2000seenkin joku lisenssimuutos service pack 3sen mukana kun tuntuu että "omassa versionssani" hyytyi windowsupdate tuon asentamisen jälkeen.. toimii muuten hyvin, mutta kaikki päivitykset pitää imuroida yksitellen download.microsoft.comista
Re: sp3 päivitys
Anonyymi kommentoija, 13.12.2002 01:10:48		 Pisteet: 0
hieman offtopic mutta tuliko windows 2000seenkin joku lisenssimuutos service pack 3sen mukana kun tuntuu että "omassa versionssani" hyytyi windowsupdate tuon asentamisen jälkeen.. toimii muuten hyvin, mutta kaikki päivitykset pitää imuroida yksitellen download.microsoft.comista
Todellakin SP3:sen lisenssi ehdot muuttavat Windows 2000:sen lisenssi ehtoja aikaisemmasta, en tiedä tarkalleen mitä, mutta meillä esim töissä SP3 on laitettu "pannaan" sen laittomuuden vuoksi. Työskentelen eräässä yliopistossa.. ja mitä juttua kuulin yliopistot ovat yhdessä vaatineet microsoftia muuttamaan sp3:sen ehtoja jotta se olisi laillinen. Noh, mitä tästä arvaa, ei ne mitään silti aikaiseks varmaan saa (mitä nyt microsoft siitä välittäisi) ... en tiedä asiasta tuon tarkempaa että mitä ne "laittomuudet" on tuossa SP3:sen käyttöehdoissa, tiedän vain sen miten meidän käskettiin toimia..
Re: sp3 päivitys
Anonyymi kommentoija, 13.12.2002 13:30:00		 Pisteet: 0
Noh, mitä tästä arvaa, ei ne mitään silti aikaiseks varmaan saa (mitä nyt microsoft siitä välittäisi) ... en tiedä asiasta tuon tarkempaa että mitä ne "laittomuudet" on tuossa SP3:sen käyttöehdoissa, tiedän vain sen miten meidän käskettiin toimia..

-Turhaa isoveljen pelkoa maailmalla levitelty (kuinkas muuten, onhan kyseessä MS). Infoa W2K SP3 / XP SP1 EULA:sta täällä:

http://www.wininformant.com/Articles/Index.cfm?Art...
Re: sp3 päivitys
Anonyymi kommentoija, 13.12.2002 13:50:55		 Pisteet: 0
Todellakin SP3:sen lisenssi ehdot muuttavat Windows 2000:sen lisenssi ehtoja aikaisemmasta, en tiedä tarkalleen mitä, mutta meillä esim töissä SP3 on laitettu "pannaan" sen laittomuuden vuoksi.
-----
You acknowledge and agree that Microsoft may automatically check the
version of the OS Product and/or its components that you are
utilizing and may provide upgrades or fixes to the OS Product that
will be automatically downloaded to your computer.
-----

Windows Update lähettää tietoa MS:n servereille, mm. kaikkien laitteiden pnp-tiedot ja asennettujen (ms:n) ohjelmien versionnumerot.
Yliopistoissahan tehdään myös tutkimustyötä joka on turvaluokituksen tai liikesalaisuuden alaista, näissä on todella tarkat turvamääräykset, supo tarkastaa ko. hommaa tekevien ihmisten taustat ja ei-turvaluokitelluilla ei ole edes asiaa samaan siipeen kuin kyseiset ihmiset, no tosin niiden työkoneet eivät edes verkossa ole.

Samaten SP3:a asennettaessa pyydetään hyväksymään tuo lisenssin ehto vaikka yksittäisellä työntekijällä tai virkamiehellä ei edes sellaista oikeutta ole. (Ei voi antaa lupaa automaattiseen tietojen lähettämiseen omasta virastostaan ulospäin.)
Re: sp3 päivitys
Anonyymi kommentoija, 13.12.2002 14:36:27		 Pisteet: +1
Todellakin SP3:sen lisenssi ehdot muuttavat Windows 2000:sen lisenssi ehtoja aikaisemmasta, en tiedä tarkalleen mitä, mutta meillä esim töissä SP3 on laitettu "pannaan" sen laittomuuden vuoksi.
-----
You acknowledge and agree that Microsoft may automatically check the
version of the OS Product and/or its components that you are
utilizing and may provide upgrades or fixes to the OS Product that
will be automatically downloaded to your computer.
-----
-Tämähän on varsin loogista. Ellei WU tutki mitä koneessa on, ei se pysty mitään päivityksiäkään siihen asentamaan. Toinen vaihtoehto olisi että mitään ei tutkittaisi, ja MS:n palvelin lähettäisi joka ainoan MS:n tekemän päivityksen joka ainoaan MS:n softaan. Olisiko se sitten parempi?

Windows Update lähettää tietoa MS:n servereille, mm. kaikkien laitteiden pnp-tiedot ja asennettujen (ms:n) ohjelmien versionnumerot.
-...joten? Tällä tiedolla ei mitenkään voida yksilöidä koneita / käyttäjiä:

"The configuration information collected is used only to determine the appropriate updates and to generate aggregate statistics. Windows Update does not collect your name, address, e-mail address, or any other form of personally identifiable information.

Windows Update also collects the Product ID and Product Key to confirm that you are running a validly licensed copy of Windows."

http://v4.windowsupdate.microsoft.com/en/default.a... -> About Windows Update

Samaten SP3:a asennettaessa pyydetään hyväksymään tuo lisenssin ehto vaikka yksittäisellä työntekijällä tai virkamiehellä ei edes sellaista oikeutta ole. (Ei voi antaa lupaa automaattiseen tietojen lähettämiseen omasta virastostaan ulospäin.)
-Joka ainoa sähköposti ja puhelu siis luetaan / kuunnellaan? Jo soitto tuonne, ja kysymys että "onkohan tämä siellä ja siellä" ei siis vastausta, koska puhelimeen vastaaja ei saa kertoa mitään ulospäin?

Ainoa tieto mikä menee ulospäin on ohjelmisto versiot jne, joita WU luonnollisesti tarvitsee tehdäkseen päivitykset. Ilman näitä tietoja ko ominaisuudesta on yhtä paljon hyötyä kuin soitosta autokorjaamolle, mutta kieltäytymisestä kertomasta auton merkkiä tai mallia kun pelkää että korjaamo vakoilee näillä tiedoilla käyttäjää.

<huokaus>

Joskus nämä MS kauhukuvat menevät jo ihan huvittavuuksiin asti.
Re: sp3 päivitys
Anonyymi kommentoija, 13.12.2002 15:07:28		 Pisteet: 0
Joskus nämä MS kauhukuvat menevät jo ihan huvittavuuksiin asti.
Hukkaat pointin. Tuo antaa MS:lle mahdollisuuden _käyttäjältä kysymättä_ lähetellä niitä tietoja. Parempi analogia olisi että autokorjaamon setä tulisi sinulta kysymättä tarkistamaan autotallissasi olevan auton huoltokirjasta ajetut kilometrit ja muut tekniset tiedot.
Dakkus Re: sp3 päivitys
Dakkus, 13.12.2002 15:07:13		 Pisteet: 0
Todellakin SP3:sen lisenssi ehdot muuttavat Windows 2000:sen lisenssi ehtoja aikaisemmasta, en tiedä tarkalleen mitä, mutta meillä esim töissä SP3 on laitettu "pannaan" sen laittomuuden vuoksi.
-----
You acknowledge and agree that Microsoft may automatically check the
version of the OS Product and/or its components that you are
utilizing and may provide upgrades or fixes to the OS Product that
will be automatically downloaded to your computer.
-----
-Tämähän on varsin loogista. Ellei WU tutki mitä koneessa on, ei se pysty mitään päivityksiäkään siihen asentamaan. Toinen vaihtoehto olisi että mitään ei tutkittaisi, ja MS:n palvelin lähettäisi joka ainoan MS:n tekemän päivityksen joka ainoaan MS:n softaan. Olisiko se sitten parempi?
Windows Update lähettää tietoa MS:n servereille, mm. kaikkien laitteiden pnp-tiedot ja asennettujen (ms:n) ohjelmien versionnumerot.
-...joten? Tällä tiedolla ei mitenkään voida yksilöidä koneita / käyttäjiä:
"The configuration information collected is used only to determine the appropriate updates and to generate aggregate statistics. Windows Update does not collect your name, address, e-mail address, or any other form of personally identifiable information.
Windows Update also collects the Product ID and Product Key to confirm that you are running a validly licensed copy of Windows."
http://v4.windowsupdate.microsoft.com/en/default.a... -> About Windows Update
Samaten SP3:a asennettaessa pyydetään hyväksymään tuo lisenssin ehto vaikka yksittäisellä työntekijällä tai virkamiehellä ei edes sellaista oikeutta ole. (Ei voi antaa lupaa automaattiseen tietojen lähettämiseen omasta virastostaan ulospäin.)
-Joka ainoa sähköposti ja puhelu siis luetaan / kuunnellaan? Jo soitto tuonne, ja kysymys että "onkohan tämä siellä ja siellä" ei siis vastausta, koska puhelimeen vastaaja ei saa kertoa mitään ulospäin?
Ainoa tieto mikä menee ulospäin on ohjelmisto versiot jne, joita WU luonnollisesti tarvitsee tehdäkseen päivitykset. Ilman näitä tietoja ko ominaisuudesta on yhtä paljon hyötyä kuin soitosta autokorjaamolle, mutta kieltäytymisestä kertomasta auton merkkiä tai mallia kun pelkää että korjaamo vakoilee näillä tiedoilla käyttäjää.
<huokaus>
Joskus nämä MS kauhukuvat menevät jo ihan huvittavuuksiin asti.
Minusta koneen tietojen lähetteleminen jollekin yritykselle tuollaisen takia on melko typerää, kun sen voisi välttääkin.
Siis WU:han voisi vallan mainiosti lähettää clientille listan "tällaisia päivityksiä meillä nyt olisi saatavilla", jota sitten WU-client voisi verrata koneen käyttöjärjestelmään, laitteisiin ja ohjelmistojen versioihin. Näiden tietojen perusteella WU-client voisi sitten pyydellä WU-serveriltä tarvittavat päivityspaketit. Samalla myöskin WU-servolta vaadittu koneteho vähenisi, kun osa työstä tehtäisiin hajautetusti clientin päässä.

Sinänsä minäkin kyllä olen sitä mieltä, ettei tarvitse pelätä, että edes MS tutkisi noita tietoja, mutta sen sijaan mielestäni kannattaa pelätä sitä, että joku ulkopuolinen käy sorkkimassa ne tiedot itselleen MS:n ohjelmistojen reikien tai huonosti koulutettuje työntekijöiden kädettämien FTP-jakojen avulla. Ja muistammehan kaikki, miten helppo hotmailiinkin oli murtautua vielä vain hetki sitten?
--
Seuraa euroseteleidesi jälkiä! http://eurobilltracker.eu/ - "Hei! Tämähän on matkustanut Lissabonista tänne Helsinkiin!"
Re: sp3 päivitys
Anonyymi kommentoija, 13.12.2002 20:02:44		 Pisteet: 0
Minusta koneen tietojen lähetteleminen jollekin yritykselle tuollaisen takia on melko typerää, kun sen voisi välttääkin. Siis WU:han voisi vallan mainiosti lähettää clientille listan "tällaisia päivityksiä meillä nyt olisi saatavilla", jota sitten WU-client voisi verrata koneen käyttöjärjestelmään, laitteisiin ja ohjelmistojen versioihin. Näiden tietojen perusteella WU-client voisi sitten pyydellä WU-serveriltä tarvittavat päivityspaketit.
-Eli mikä ero tässä on? Sen sijaan että client lähettää tiedon "mulla on Office 2000 ja IE6 ja tarvitsen niihn päivitykset" lähetetäänkin viesti "en kerro mitkä versiot mulla on, mutta tarvitsisin päivitykset Office 2000:een ja IE6:een...". Eiköhän noista voi päätellä mitkä versiot on käytössä. Toinen asia on se että WU:sta on yritetty tehdä mahdollisimman helppo käyttää, koska tavallisen kotiäidinkin pitäisi osata sillä päivittää konettaan. Voi arvata mitä siitä tulisi jos pulliaisen pitäisi itse alkaa valita mikä versio Officesta (95, 97, 97 SR1, 97 SR2, 2000, 2000 SP1, 2000 SP2, 2000 SP3, XP, XP SP1, XP SP2) on käytössä...käytännössä ainoa tapa saada koko systeemi toimimaan on automaatti. Onko sillä ihan oikeasti jollekkin jotain merkitystä tietääkö Microsoft / joku muu ohjelmisto toimittaja mikä versio jostain softasta jollakulla on käytössä? Jo nettiselaimen version pystyy tutkimaan java / VB skriptalla helposti jo pelkällä netti sitella vierailtaessa.

Eiköhän Oraclekin pysty päättelemään mikä versio ko softasta / käyttiksestä jollakulla on käytössä, jos hakee Oraclen sivuilta päivtyksiä AIX 4.3.1 käyttiksen Oracle 8i 8.1.6 versioon, automaattisella updatella tai ei...

Ja on varsin lapsellista uskoa että MS (tai kukaan muukaan softavalmistaja) versiotiedoilla jotain tekisi muuta kuin pitäisi tilastoa nykyään, kun yksityisyys- ja muut kansalaisjärjestöt kirkuvat kurkku suorina jo jos nimeä kadulla kyselee... :)
Dakkus Re: sp3 päivitys
Dakkus, 15.12.2002 21:14:36		 Pisteet: 0
Minusta koneen tietojen lähetteleminen jollekin yritykselle tuollaisen takia on melko typerää, kun sen voisi välttääkin. Siis WU:han voisi vallan mainiosti lähettää clientille listan "tällaisia päivityksiä meillä nyt olisi saatavilla", jota sitten WU-client voisi verrata koneen käyttöjärjestelmään, laitteisiin ja ohjelmistojen versioihin. Näiden tietojen perusteella WU-client voisi sitten pyydellä WU-serveriltä tarvittavat päivityspaketit.
-Eli mikä ero tässä on? Sen sijaan että client lähettää tiedon "mulla on Office 2000 ja IE6 ja tarvitsen niihn päivitykset" lähetetäänkin viesti "en kerro mitkä versiot mulla on, mutta tarvitsisin päivitykset Office 2000:een ja IE6:een...". Eiköhän noista voi päätellä mitkä versiot on käytössä. Toinen asia on se että WU:sta on yritetty tehdä mahdollisimman helppo käyttää, koska tavallisen kotiäidinkin pitäisi osata sillä päivittää konettaan. Voi arvata mitä siitä tulisi jos pulliaisen pitäisi itse alkaa valita mikä versio Officesta (95, 97, 97 SR1, 97 SR2, 2000, 2000 SP1, 2000 SP2, 2000 SP3, XP, XP SP1, XP SP2) on käytössä...käytännössä ainoa tapa saada koko systeemi toimimaan on automaatti. Onko sillä ihan oikeasti jollekkin jotain merkitystä tietääkö Microsoft / joku muu ohjelmisto toimittaja mikä versio jostain softasta jollakulla on käytössä? Jo nettiselaimen version pystyy tutkimaan java / VB skriptalla helposti jo pelkällä netti sitella vierailtaessa.
Eiköhän Oraclekin pysty päättelemään mikä versio ko softasta / käyttiksestä jollakulla on käytössä, jos hakee Oraclen sivuilta päivtyksiä AIX 4.3.1 käyttiksen Oracle 8i 8.1.6 versioon, automaattisella updatella tai ei...
Ja on varsin lapsellista uskoa että MS (tai kukaan muukaan softavalmistaja) versiotiedoilla jotain tekisi muuta kuin pitäisi tilastoa nykyään, kun yksityisyys- ja muut kansalaisjärjestöt kirkuvat kurkku suorina jo jos nimeä kadulla kyselee... :)
Tässä olisi huomioitava se, että sentään aivan kaikki kaikki Microsoftin tuotteet eivät ole täydellisiä bugiläjiä, eli nnitä ei tarvitse päivitellä niin usein kuin vaikkapa IE:tä. Ja automaatillahan tuo päivitys voitaisiin toki hoitaa client-päässäkin ihan niinkuin serverilläkin. Pointti on siinä, ettei kaikkien ohjelmien tietoja tarvitse antaa MS:lle saadakseen päivitettyä sen yhden, joka on päivittämisen tarpeessa. Lisäksi ohjelman päivittämiseen voi olla monta syytä. Eli kun MS kyselee koneen speksejä, se saa tietää tietoa, jota se ei saisi, jos koneen analysointi tehtäisiin clientin päässä. Selventääkseni:

Nykytyyli: "Hyvää päivää, MS. Minä olen Tietokone ja haluan päivityksiä. Tässä tietoni." "Kiitos. Näen, että tarvitset päivitykset foo, bar ja baz, sillä koneessasi on erwin, pitr ja dp."

Dakkustyyli: "Hyvää päivää, MS. Minä olen Tietokone ja haluan päivityksiä. Tarvitsen päivitykset foo, bar ja baz." "Miksi? Siksikö, että koneessasi on liikaa hymyilyä? Vai onko kenties joku syönyt koneesi monitorin? Vai onko koneesi ongelmana dp, pitr ja/tai erwin? Vai johtuuko tuo kenties Y2k-ongelmasta?" "Ei kuulu sinulle, et tarvitse ko. tietoja päivitysten lähettämiseen" "Nohöh. #$€£%½. Siinä on päivityksesi. Hmph."

Ymmärrätkös pointin? Saadaan samat päivitykset ilman, että MS saa yhtä tarkkoja tietoja serverilleen.
--
Seuraa euroseteleidesi jälkiä! http://eurobilltracker.eu/ - "Hei! Tämähän on matkustanut Lissabonista tänne Helsinkiin!"
punkki Re: sp3 päivitys
punkki, 13.12.2002 08:02:28		 Pisteet: 0
eillä esim töissä SP3 on laitettu "pannaan" sen laittomuuden vuoksi. Työskentelen eräässä yliopistossa..
Olisi mielenkiintoista kuulla, mitä lakia uudet lisenssiehdot rikkovat. Mutta ongelmallisia ne ovat, koska ne antavat Microsoftille oikeuden tutkia konettasi.

Tästä linkistä aiheesta enemmän: http://www.thefab.net/topics/computing/co35_win_sn...

Tästä linkistä löytyy juttu jenkkipankkien ongelmasta noiden lisenssiehtojen kanssa: http://boston.internet.com/news/article.php/148586...
Bling Re: sp3 päivitys
Bling, 13.12.2002 05:27:42		 Pisteet: 0
hieman offtopic mutta tuliko windows 2000seenkin joku lisenssimuutos service pack 3sen mukana kun tuntuu että "omassa versionssani" hyytyi windowsupdate tuon asentamisen jälkeen.. toimii muuten hyvin, mutta kaikki päivitykset pitää imuroida yksitellen download.microsoft.comista
Kyllä kai sen pitäs toimia. Toki mikkisoftalla tuppaa joskus olemaan toi windows update niiin jumeksessa, että sen voisi kuvitella olevan rikki... =)

Muistan itsekkin kun kerran asensin windowssin uusiksi ja siirsin 5 g tavaraa kaverin koneelle. ne 5 gigaa tuli nopeemmin kuin 7 megaa mikkisoftalta.
IE is like the language of south park. It should not be used by anyone but still it is used by the great majority
Re: sp3 päivitys
Anonyymi kommentoija, 13.12.2002 08:18:42		 Pisteet: 0
Kyllä kai sen pitäs toimia. Toki mikkisoftalla tuppaa joskus olemaan toi windows update niiin jumeksessa, että sen voisi kuvitella olevan rikki... =)
Eilen ainakin taisi olla ihan siitä syystä, että nuo uusimmat exploitit ylittivät uutiskynnyksen kirkkaasti --> ihmiset downailivat päivityksiä. Ja sama meno näyttää olevan vielä, toistaiseksi ei ole kiloakaan vielä tullut ja viisi minuuttia olen jo venaillut.