Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Keskiviikko, 10.3.2004

Microsoftilta korjauksia uusiin haavoittuvuuksiin

Microsoft varoitti eilen tiistaina kolmesta uudesta haavoittuvuudesta ja julkaisi niihin korjaustiedostot, joista kaksi on määritelty vakavuudeltaan keskinkertaiseksi ja yksi tärkeäksi. Ongelmat piilevät Windows Media Services-, Office XP- ja MSN Messenger-ohjelmistoissa.

Vaikka yhtäkään nyt julkistettua haavoittuvuutta ei ole luokiteltu kriittiseksi, mahdollistaa Office XP:tä ja erityisesti Outlook-sähköpostisovellusta vaivaava bugi sovellusten suorittamisen kohdetietojärjestelmässä. Lisätietoja kaikista haavoittuvuuksista löytyy Microsoftin Security Bulletin -palvelusta.

Lue juttu K2, 10.3.2004 14:56. Lähde: Microsoft / the inquirer

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 23 uutta / 23 )
pistettä.
Näytä vain kommentit joilla on vähintään
Mielenkiintoista...
Anonyymi kommentoija, 10.3.2004 18:31:14		 Pisteet: +1
...kaikkihan näistä ovat vanhoihin versioihin (Office XP, Win2000), eli yhtään näistä ei vaikuta uusimpien versioiden käyttäjiä.

OIkeastaan se mikä tässä on kaikkein mielenkiintoisinta on se ettei maailmalla ole juurikaan uutisoitu sitä että Linuxin kernelistä on löytynyt viimeisen kuukauden puolentoista aikana reikiä useampia kappaleita (ja kun kernelistä löytyy vikoja, voi aina puhua kriittisistä ongelmista), mutta jos MS:lta tulee ei-kriittiisiä korjauksia vanhoihin versioihin se ylittää heti uutiskynnyksen.

Osa noista kernel ongelmista oli vielä ollut siellä ties kuinka kauan. Eikös open sorsan ideana ollut että "tuhannet silmät tutkivat sitä jne jne"...

Eipä tunnu ne tuhannet silmät löytävän mitään, sen paremmin / huonommin kuin kaupallisella puolellakaan.

Jotenkin tuntuu että tämä käsitys os -softan paremmasta turvallisuudesta on täysi urbaani legenda, ilman mitään varsinaista todistusaineistoa, paitsi se että sillä on niin paljon vähemmän käyttäjiä, ja sitä kautta tihulaisia etsimässä niitä reikiä.

Eipä ole enää aikoihin julkaistu tietoja OS/2:n tietoturvaongelmista. Uskooko joku että se tarkoittaa että se on siis täysin turvallinen?

Ihan vain huomiona, ei sodanjulistuksena suuntaan tai toiseen.
Re: Mielenkiintoista...
Anonyymi kommentoija, 10.3.2004 18:34:56		 Pisteet: 0
Osa noista kernel ongelmista oli vielä ollut siellä ties kuinka kauan. Eikös open sorsan ideana ollut että "tuhannet silmät tutkivat sitä jne jne"...
Toki, mutta tiedottajia on kovin vähän. Kukaan distro-levittäjä tuskin mielellään ongelmista kuuluttaa jos korjausta ei ole vielä saatavilla kun koodia tutkimalla on mahdollista selvittää ongelman hyödyntäminen.

Ikävä kääntöpuoli mutta näin se vaan on.
Re: Mielenkiintoista...
Anonyymi kommentoija, 10.3.2004 22:49:37		 Pisteet: 0
Osa noista kernel ongelmista oli vielä ollut siellä ties kuinka kauan. Eikös open sorsan ideana ollut että "tuhannet silmät tutkivat sitä jne jne"...
Toki, mutta tiedottajia on kovin vähän. Kukaan distro-levittäjä tuskin mielellään ongelmista kuuluttaa jos korjausta ei ole vielä saatavilla kun koodia tutkimalla on mahdollista selvittää ongelman hyödyntäminen.
Ikävä kääntöpuoli mutta näin se vaan on.
Öh.. ettekö ole kuulleet distron omista postilistoista. Hyvinkin tiedotetaan.
Esim. http://www.debian.org/MailingLists/

Lisättäköön että nämä uutisen kaikki aukot on taas vain yhden yrityksen aukkoja ja kun tohon lisätään juuri winamp, acrobat reader, realplayer, ie paljon vakavampi url virhe (mozilla näytti vain statuksen väärin) ynnä muut windows ympäristössä olleet niin ollaankin samalla viivalla taasen vertailussa.

Mutta lienekkö tästä enempää. Aivot omistava osaa tehdä omat johtopäätöksensä. Vaikkakin monet tilastot käsittelee jokaista windowssia erikseen ja kaikki linuxit samassa mikä on hyvin ihmeellistä tilastointia. Sama kuin jokaista distro tilastoitaisiin erikseen.
weicco Re: Mielenkiintoista...
weicco, 10.3.2004 19:35:13		 Pisteet: 0
Kukaan distro-levittäjä tuskin mielellään ongelmista kuuluttaa jos korjausta ei ole vielä saatavilla kun koodia tutkimalla on mahdollista selvittää ongelman hyödyntäminen.
Ja jos MS tekee näin, MS:ää syytetään siitä, että he pimittivät tietoa, eivätkä tiedottaneet asiakkailleen mahdollisista vaaroista.
Join me! Together we can rule the galaxy as father and son.
Re: Mielenkiintoista...
Anonyymi kommentoija, 10.3.2004 20:57:20		 Pisteet: 0
Kukaan distro-levittäjä tuskin mielellään ongelmista kuuluttaa jos korjausta ei ole vielä saatavilla kun koodia tutkimalla on mahdollista selvittää ongelman hyödyntäminen.
Ja jos MS tekee näin, MS:ää syytetään siitä, että he pimittivät tietoa, eivätkä tiedottaneet asiakkailleen mahdollisista vaaroista.
En usko, jos korjausajat MS:n taholta olisivat lyhyempiä (viikosta kuukauteen). Ne ovat nyt vähän liian pitkiä: http://www.eeye.com/html/Research/Upcoming/index.h...

"Vendor: Microsoft
Severity: High
Date Reported: September 10, 2003
Estimated Number of Vulnerable Machines: 300 Million
122 days overdue"

Karua luettavaa, eikä tuo ole edes ainoa laatuaan.
feenix Re: Mielenkiintoista...
feenix, 10.3.2004 22:14:54		 Pisteet: 0
En usko, jos korjausajat MS:n taholta olisivat lyhyempiä (viikosta kuukauteen). Ne ovat nyt vähän liian pitkiä: http://www.eeye.com/html/Research/Upcoming/index.h... Karua luettavaa, eikä tuo ole edes ainoa laatuaan.
Mutta het kun ottaa aivot käyttöön huomaa, ettei tuolla ole juurikaan tekemistä reaalimaailman kanssa, vai mistäköhän kohtaa maailmasta löytyvät ne 300 miljoonaa konetta, joissa on se vakioasennus käyttiksestä.

Samalla tavalla voisi siis tehdä listan vaikkapa Linuxin 2.6.0-kernelistä, ei siihenkään ole korjauksia tehty kun kerran 2.6.3 on olemassa. Montakos päivää yliaikaa on siis 2.6.0:n osalta korjaukset? Tai 2.4.10:n?
Re: Mielenkiintoista...
Anonyymi kommentoija, 10.3.2004 22:52:47		 Pisteet: 0
Samalla tavalla voisi siis tehdä listan vaikkapa Linuxin 2.6.0-kernelistä, ei siihenkään ole korjauksia tehty kun kerran 2.6.3 on olemassa. Montakos päivää yliaikaa on siis 2.6.0:n osalta korjaukset? Tai 2.4.10:n?
Mitähän mahdat tarkoittaa.
2.4.18 kerneli käytös ja korjaukset ajettuna. Ei yksistään vaihtaminen uuteen kerneliin ole ainut tapa korjata ongelmia. Korjauksia on myös vanhempiin kerneleihin.
feenix Re: Mielenkiintoista...
feenix, 11.3.2004 09:04:16		 Pisteet: 0
2.4.18 kerneli käytös ja korjaukset ajettuna. Ei yksistään vaihtaminen uuteen kerneliin ole ainut tapa korjata ongelmia. Korjauksia on myös vanhempiin kerneleihin.
2.4.18 != 2.4.10. Joten missä on korjaukset jokaiseen bugiin 2.4.10:ssä? Jos kerran on kauheaa, kun ei vakioasennukseen (jota ei enää voi edes ostaa, ellei ole jotain ikivanhoja lootia jollain jälleenmyyjällä) tehdä korjausta (kun kerran vika on jo korjattu uusissa paketeissa), on kai sama asia jos muissakin softissa pitää ottaa uudempi versio jotta viat korjaantuvat.

Tämä on se naurettavuus monissa trackereissa, ei oteta huomioon realiteetteja.
daimoni Re: Mielenkiintoista...
daimoni, 11.3.2004 23:24:25		 Pisteet: 0
2.4.18 != 2.4.10. Joten missä on korjaukset jokaiseen bugiin 2.4.10:ssä?
Versiossa 2.4.11
"Minusta on viime aikoina daimonin kommentteja lukeneena alkanut muutenkin tuntua, että äijä kuvittelee olevansa joku jumalhahmo, jonka sana on totuus ja laki."
-- Anonyymi kommentoija
Re: Mielenkiintoista...
Anonyymi kommentoija, 10.3.2004 23:42:46		 Pisteet: 0
Mutta het kun ottaa aivot käyttöön huomaa, ettei tuolla ole juurikaan tekemistä reaalimaailman kanssa, vai mistäköhän kohtaa maailmasta löytyvät ne 300 miljoonaa konetta, joissa on se vakioasennus käyttiksestä.
Huomasitkos muuten, että keskustelun pointtihan ei ollut koneiden määrä vaan se, että korjaus on odottanut itseään jo 122 päivää + kuukauden. Joskus pitäisi odottaa hetki ennen kuin kommentoi.
feenix Re: Mielenkiintoista...
feenix, 11.3.2004 09:02:43		 Pisteet: 0
Huomasitkos muuten, että keskustelun pointtihan ei ollut koneiden määrä vaan se, että korjaus on odottanut itseään jo 122 päivää + kuukauden. Joskus pitäisi odottaa hetki ennen kuin kommentoi.
Eli et ottanut aivoja käyttöön. Väännetäänpä ratakiskoa: virhe on korjattu päivityksissä. Asennus-CDitä on vähän vaikea korjata kaikkiin myytyihin versioihin. Joten miksi tämä on vieläkin auki?
weicco Re: Mielenkiintoista...
weicco, 11.3.2004 09:44:40		 Pisteet: 0
Huomasitkos muuten, että keskustelun pointtihan ei ollut koneiden määrä vaan se, että korjaus on odottanut itseään jo 122 päivää + kuukauden. Joskus pitäisi odottaa hetki ennen kuin kommentoi.
Hmm. Olisi kyllä aika omituista, että noin vakavaa reikää ei olisi paikattu. Tosin tuolla ei sanota tarkemmin, mitä ohjelmaa/palvelua/ajuria/whatever tuo aukko koskee, "system" tai "core" ovat turhan laajoja käsitteitä.

Pitäisi tehdä jonkinlainen oma tutkimus näistä aukoista ja niiden vaikutuksista. Suhtaudun aina pienellä varauksella noihin netissä julkaistaviin ultimate truth - tutkimuksiin (en nyt puhu juuri tuosta Security Bulletin sivusta tai eeye.com:sta), koski ne sitten Windowsia, Linuxia tai *BSD:tä. Mutta näin äkkiseltään miettien, kaikista aukoista huolimatta, en tunne kuin yhden henkilön, jolla on ollut ongelmia, sekin MSBlasterin kanssa. Aukkohan voi olla olemassa, mutta on eri asia, miten ja kuinka helposti sitä voidaan hyödyntää.
Join me! Together we can rule the galaxy as father and son.
Hypnos Re: Mielenkiintoista...
Hypnos, 11.3.2004 04:19:06		 Pisteet: 0
Osa noista kernel ongelmista oli vielä ollut siellä ties kuinka kauan. Eikös open sorsan ideana ollut että "tuhannet silmät tutkivat sitä jne jne"...
Toki, mutta tiedottajia on kovin vähän. Kukaan distro-levittäjä tuskin mielellään ongelmista kuuluttaa jos korjausta ei ole vielä saatavilla kun koodia tutkimalla on mahdollista selvittää ongelman hyödyntäminen.
Ikävä kääntöpuoli mutta näin se vaan on.
Gentoolla on ainakin postituslista näitä tapauksia varten.
Re: Mielenkiintoista...
Anonyymi kommentoija, 10.3.2004 22:54:17		 Pisteet: 0
OIkeastaan se mikä tässä on kaikkein mielenkiintoisinta on se ettei maailmalla ole juurikaan uutisoitu sitä että Linuxin kernelistä on löytynyt
Luetko slashdottia? Siellä ainakin olen nähnyt noita uutisia.

viimeisen kuukauden puolentoista aikana reikiä useampia kappaleita
Useampia? Saisinko vähän tarkempaa tietoa tähän, itse en muista kuin kaksi, enkä tiedä ovatko nekään olleet viimeisen puolentoista kuukauden aikana.

(ja kun kernelistä löytyy vikoja, voi aina puhua kriittisistä ongelmista),
Ja molemmat niistä vaativat pääsyn järjestelmään, että niitä voi hyödyntää. Eli haavoittuvuuksia pääsee lähinnä hyödyntämään palvelimilla, jonne on usean käyttäjän pääsy. Eli periaatteessa kotikäyttäjät ovat noiltakin aukoilta aika hyvin turvassa. Toki olet oikeassa siinä että nuo ovat vakavia aukkoja ja ne pitäisi tukkia. Ei kuitenkaan yhtä vakavia kuin esimerkiksi se Microsoftin kuuluisa aukko, joka toimi ihan suoraan kun netistä vain otti yhteyden, jolloin kotikäyttäjät eivät todellakaan olleet turvassa.

Eipä tunnu ne tuhannet silmät löytävän mitään, sen paremmin / huonommin kuin kaupallisella puolellakaan.
Tästä on kylläkin ainakin MySQL:n toimesta tehty tutkimusta, että open source toimii paremmin kuin suljettu systeemi. Mikäli väitteesi perustui mutulle, ei sillä ole varmaankaan tutkimusta enempää painoarvoa?

Siinä olet oikeassa, että vanhoja koodeja tulee harvemmin kenenkään silmäiltyä, mutta pitää muistaa että ne kirjoitettiin aikana jolloin oli paljon vähemmän silmiä. Olen melko varma, että nykyään uudet koodit joutuvat suuremman tarkastelun kohteeksi kuin vanhat. Tämäkin on tosin mutua ;)
Re: Mielenkiintoista...
Anonyymi kommentoija, 10.3.2004 23:03:36		 Pisteet: 0
...kaikkihan näistä ovat vanhoihin versioihin (Office XP, Win2000), eli yhtään näistä ei vaikuta uusimpien versioiden käyttäjiä.
Tilastothan ovat vain suuntaa-antavia, mutta esim. w3schools.com:in käyttäjätilastojen mukaan WinXP:n käyttäjiä on 46% kävijöistä, Win2000/98/NT4 yhteensä 45%. Kaikilla ei siis tosiaankaan ole tuoreimpia versioita Microsoftin tuotteista, vaikka Redmondin puolessa niin toivottaisiinkin.
Re: Mielenkiintoista...
Anonyymi kommentoija, 10.3.2004 23:03:43		 Pisteet: +1
OIkeastaan se mikä tässä on kaikkein mielenkiintoisinta on se ettei maailmalla ole juurikaan uutisoitu sitä että Linuxin kernelistä on löytynyt viimeisen kuukauden puolentoista aikana reikiä useampia kappaleita
Siis kaksi kertaa. Ne ovat kuitenkin "vain" paikallisia reikiä. Eikö se ole vakavampaa jos selaimesta tai sähköpostiohjelmasta löytyy reikä jolla pääsee ajamaan koodia koneessa Administraattorina heiluvan käyttäjän tunnuksella?
Tuon kernel-reiän hyödyntäminen vaatii että saa ensin kaapattua käyttäjän tunnuksen ja sitten katsokaan onko kernel-reikää paikattu ennen kuin ollaan samassa tilanteessa (koneessa roottina).
Re: Mielenkiintoista...
Anonyymi kommentoija, 11.3.2004 00:11:19		 Pisteet: 0
Jotenkin tuntuu että tämä käsitys os -softan paremmasta turvallisuudesta on täysi urbaani legenda, ilman mitään varsinaista todistusaineistoa, paitsi se että sillä on niin paljon vähemmän käyttäjiä, ja sitä kautta tihulaisia etsimässä niitä reikiä.
Jotenkin tuntuu että joka ikiseen MS:n tietoturvareikiä käsittelevään threadiin täytyy väkisin saada tällainen valitus/kuittailu. Eikö todellakaan ole mahdollista kommentoida ilman ontuvia vertauksia joko autoihin tai sitten ilman että on pakko päästä haukkumaan os-softia...
daimoni Re: Mielenkiintoista...
daimoni, 11.3.2004 11:49:08		 Pisteet: +1
OIkeastaan se mikä tässä on kaikkein mielenkiintoisinta on se ettei maailmalla ole juurikaan uutisoitu sitä että Linuxin kernelistä on löytynyt viimeisen kuukauden puolentoista aikana reikiä useampia kappaleita (ja kun kernelistä löytyy vikoja, voi aina puhua kriittisistä ongelmista)
Toki mutta näiden hyödyntäminen ei todellakaan ole niin yksinkertainen prosessi kuin vain viruksen sisältävän mailin lähettäminen tai automaattisen RPC-madon kirjoittaminen. Nämä leviävät aikalailla automaattisesti.

Jotta voisit hyödyntää kerneliaukkoa, tarvii ensin
1) serverin ottaa vastaan ssh-yhteyksiä että yleensäkään pääsee lokaaliksi
2) saada tunnukset että pääsee sisään mikäli kohta 1==true
3a) olla oikeudet kääntötyökaluihin että saat exploitin käännettyä (omalla serverilläni erillinen ctools-grouppi)
3b) olla oikeudet intterweppityökaluihin kuten wgetiin jolla valmis binaryexploitti saadaan koneelle (omalla serverilläni erillinen ntools-grouppi)
3b2) mikäli kohta 3b, pitää myös serverin pyöriä saman prosessoriarkkitehtuurin päällä kuin kääntökoneenkin
4) ajaa se

Mikäli kaikki oikeustarpeet täyttävän tunnuksen salasanan jostain ihmeestä saa tietoon, ollaan jo joka tapauksessa heikoilla oli käyttöjärjestelmä sitten mikä unix tai windows vain.
"Minusta on viime aikoina daimonin kommentteja lukeneena alkanut muutenkin tuntua, että äijä kuvittelee olevansa joku jumalhahmo, jonka sana on totuus ja laki."
-- Anonyymi kommentoija
Hypnos Re: Mielenkiintoista...
Hypnos, 11.3.2004 04:16:24		 Pisteet: 0
OIkeastaan se mikä tässä on kaikkein mielenkiintoisinta on se ettei maailmalla ole juurikaan uutisoitu sitä että Linuxin kernelistä on löytynyt viimeisen kuukauden puolentoista aikana reikiä useampia kappaleita.
Mistäköhän reijistä mahtanee olla kysymys? Itselle tulee vain yksi 2.4:n bugi mieleen. Sektorikin muistaakseni sen uutisoi.

Osa noista kernel ongelmista oli vielä ollut siellä ties kuinka kauan. Eikös open sorsan ideana ollut että "tuhannet silmät tutkivat sitä jne jne"...
Kylla kriittiset haavoittuvuudet aina korjataan, korjaamatta voi sitten jäädä sellaiset konfigurointi ongelmat kuten esim. "Samba + 2.6 Kernel" root-haavoittuvuus. Jos tiedät kriittisen vaavoittuvuuden, joka on vielä paikkaamatta niin kerro toki!

Eipä tunnu ne tuhannet silmät löytävän mitään, sen paremmin / huonommin kuin kaupallisella puolellakaan.
Kai ne joku on löytänyt, jos voidaan uutisoida.