Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Perjantai, 21.12.2001

Microsoftin päivitys paikkaa vakavan tietoturva-aukon Windows XP:ssä

eEye Digital Security -tietoturvayritys on löytänyt Windows XP -käyttöjärjestelmän UPNP-palvelusta (Universal Plug and Play) useita tietoturva-aukkoja. UPNP-ominaisuudesta löytyneet tietoturva-aukot antavat kräkkereille mahdollisuuden ajaa tietomurron kohteena olevalla Windows XP -tietokoneella haluamiaan ohjelmistoja korkeimmin mahdollisin oikeuksin. UPNP-järjestelmäpalvelu saattaa joskus tulevaisuudessa mahdollistaa esimerkiksi kodin elektroniikan hallinnan tietokoneelta.

Microsoftin mukaan aukko on ennennäkemätön uhka kuluttajille, koska kaikki Internetiin yhteydessä olevat Windows XP -tietokoneet voivat joutua hyökkäyksen kohteeksi. Microsoftin tietoturvakeskuksen johtajan Scott Culpin mukaan kyseessä on kuitenkin vasta ensimmäinen Windows-työasemakäyttöjärjestelmässä oleva etäkäytön mahdollistava tietoturva-aukko. Scott suosittelee, että kaikki Windows XP -käyttäjät asentavat Microsoftin julkaiseman päivityksen välittömästi.

Lue juttu oma, 21.12.2001 01:01. Lähde: eEye

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 32 uutta / 32 )
pistettä.
Näytä vain kommentit joilla on vähintään
pitkä miinus
Anonyymi kommentoija, 21.12.2001 01:14:18		 Pisteet: 0
kun kuulin tästä menin tietysti xp:lläni windows update sivulle. siellä oli 2 kriittiseksi katsottua uutta päivitystä, mutta kumpikaan ei ollut tämä uusin.

mitä hyötyä on "helposta" window update sivusta, jos sinne ei tule tämän vakavuusasteen kaltainen päivitys?

jouduin hakemaan linkin tähän päivitykseen microsoftin xp sivustolta. kertoo vähän firman ajatuksenjuoksusta.....
Re: pitkä miinus
Anonyymi kommentoija, 21.12.2001 03:13:36		 Pisteet: 0
mitä hyötyä on "helposta" window update sivusta, jos sinne ei tule tämän vakavuusasteen kaltainen päivitys? jouduin hakemaan linkin tähän päivitykseen microsoftin xp sivustolta. kertoo vähän firman ajatuksenjuoksusta...
Olen huomannut että korjauspäivitysten tulo WindowsUpdateen niiden julkistamisen jälkeen kestää useimmiten parista päivästä viikkoon. Kaipa siihen jotain integraatiotestauksia väliin tarvitaan.
Re: pitkä miinus
Anonyymi kommentoija, 21.12.2001 13:07:42		 Pisteet: 0
Olen huomannut että korjauspäivitysten tulo WindowsUpdateen niiden julkistamisen jälkeen kestää useimmiten parista päivästä viikkoon. Kaipa siihen jotain integraatiotestauksia väliin tarvitaan.
Luvattoman hidasta silti. Muutenkin Microsoft tuntuu olevan mestari epämääräisessä webbijulkaisemisessa. Saittia järjestellään uusiksi tasaisin väliajoin ja esim. download-hakukoneesta saa useimmiten läjittäin toimimattomia linkkejä.

MSDN:n puolella ei edes ollut jostain kumman syystä linkkiä erääseenkään olemassaolevaan ja uudehkoon service packiin. Mukavaa toki arvailla oikeita osoitteita.
Re: pitkä miinus
karipk, 21.12.2001 07:51:43		 Pisteet: +1

mitä hyötyä on "helposta" window update sivusta, jos sinne ei tule tämän vakavuusasteen kaltainen päivitys?
Sama homma minulla. Olin hakenut tuon IE 6 header ongelmaan korjauksen 15.12. Eli heti kun sektorissa siitä kerrottiin. Unohdin kuitenkin asentaa sen. Vasta tänä aamuna tuo critical notification kertoi että tuo päivitys on saatavilla windows updatesta.
Kuusi kokonaista päivää....



Re: pitkä miinus
Anonyymi kommentoija, 21.12.2001 09:28:14		 Pisteet: 0
mitä hyötyä on "helposta" window update sivusta, jos sinne ei tule tämän vakavuusasteen kaltainen päivitys?
Sama homma minulla. Olin hakenut tuon IE 6 header ongelmaan korjauksen 15.12. Eli heti kun sektorissa siitä kerrottiin. Unohdin kuitenkin asentaa sen. Vasta tänä aamuna tuo critical notification kertoi että tuo päivitys on saatavilla windows updatesta.
Kuusi kokonaista päivää....
Meillä on duunissa yksi kaveri, joka ylläpitää muutamaa W2K-serveriä. Pääsin vasta oikaisemaan häntä, kun hän kuvitteli W2K-serverin tietoturvan olevan kunnossa Windows Updatea käyttämällä. Kaikkea muuta -- madot ja haxorit käy kylässä IIS:n exploitteja käyttämällä miten lystää vaikka kuinka Windows Updatea käyttäisi.
Lohduttavaa
Anonyymi kommentoija, 21.12.2001 10:27:26		 Pisteet: 0
Microsoftin tietoturvakeskuksen johtajan Scott Culpin mukaan kyseessä on kuitenkin vasta ensimmäinen Windows-työasemakäyttöjärjestelmässä oleva etäkäytön mahdollistava tietoturva-aukko.
Noniin, tuo kyllä helpottaa. Tämähän on kuitenkin vasta ensimmäinen etäkäyttöaukko :)
pikkuviilausta
Anonyymi kommentoija, 21.12.2001 11:08:03		 Pisteet: +1
kyllähän sen ymmärtää että tietyn valmistajan käyttikset julkaistaan niin kevyen&pikaisen testauksen jälkeen, että pikkupätsejä tarvitaan ;-/ eli kannattaa odotella kärsivällisesti hieman uudempaa versionumeroa eikä heti rynnätä sopulina betatasoista mallia ostamaan...

winupdatea en ole ikinä käyttänyt, tarkistan säännöllisesti (päivittäin) korjauspäivitykset download-sivuilta. muutenkin työkoneen omatoiminen ylläpito vaatii tiettyä vainoharhaisuutta.

windows xp = eXPerimental
ja te olette koekaniineja ;-)

--
webdaemoness
Re: pikkuviilausta
Anonyymi kommentoija, 21.12.2001 13:38:16		 Pisteet: 0
windows xp = eXPerimental ja te olette koekaniineja ;-)
Mun mielestä toi lyhenne on kyllä sanasta eXPensive.
Re: pikkuviilausta
Avk, 21.12.2001 20:48:39		 Pisteet: 0
windows xp = eXPerimental ja te olette koekaniineja ;-)
Mun mielestä toi lyhenne on kyllä sanasta eXPensive.
hymm.. extremely eXPensive eXPerimental exersice ?
Re: pikkuviilausta
compact, 22.12.2001 12:05:29		 Pisteet: 0
windows xp = eXPerimental ja te olette koekaniineja ;-)
Mun mielestä toi lyhenne on kyllä sanasta eXPensive.
hymm.. extremely eXPensive eXPerimental exersice ?
Minusta tuo menee näin:
XP = eXPerimental
XP++ = eXPensive eXPerimental
XP1.0 = extremely eXPensive eXPerimental exersice
heko Re: pikkuviilausta
heko, 27.12.2001 17:53:42		 Pisteet: 0
kyllähän sen ymmärtää että tietyn valmistajan käyttikset julkaistaan niin kevyen&pikaisen testauksen jälkeen, että pikkupätsejä tarvitaan ;-/ eli kannattaa odotella kärsivällisesti hieman uudempaa versionumeroa eikä heti rynnätä sopulina betatasoista mallia ostamaan...
No, se riippuu siitä, käyttääkö Vanilla-98:sia (jossa on N^2 pätsäämätöntä bugia). Kyllä XP sen voittanee.

winupdatea en ole ikinä käyttänyt, tarkistan säännöllisesti (päivittäin) korjauspäivitykset download-sivuilta.
Ainakin bugtraqilla joku väitti että windows updaten kautta ladattu korjaus ei korjannutkaan kunnolla samaa ongelmaa jonka "manuaalisesti" ladattu korjaus korjasi. Tiedä sitten, oliko jutussa perää - eroavatko nämä käyttötavat oikeasti paljoakaan/yhtään?
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
Pineapple Huoh.
Pineapple, 23.12.2001 01:29:37		 Pisteet: 0
Windowsissa on bugi -> whinewhinejoo taas kerran näitä on miljuuna. Eikä ne ees korjaa sitä.
Bugi luvataan korjata -> whinewhinejoo eipä sitäkään korjausta nähdä ikinä kestää varmaan vuosia.
Bugikorjaus tulee nopeasti -> whinewhinejoo ei sitä löydä tuolta niitten sivuilta, nopeesti tuli vaan ku painostettiin.

Jos fiksi tulisi nopeasti, ja olisi helppo löytää täällä varmasti itkettäisiin miten se on vaikee tallentaa kovolle tai miten sen installi kestää liian kauan tms.

Niin se vaan taitaa olla että joidenkin mielestä MS ei pysty tekemään mitään oikein, ei vaikka kuinka yrittäisi.
Pineapple
Re: Huoh.
Anonyymi kommentoija, 28.12.2001 13:01:40		 Pisteet: 0
Bugikorjaus tulee nopeasti -> whinewhinejoo ei sitä löydä tuolta niitten sivuilta, nopeesti tuli vaan ku painostettiin. Jos fiksi tulisi nopeasti, ja olisi helppo löytää täällä varmasti itkettäisiin miten se on vaikee tallentaa kovolle tai miten sen installi kestää liian kauan tms.
.. Kuka voi tietää onko korjaus tullut nopeasti vai ei kun microsoft KIELTÄÄ julkaisemasta bugien löytymisestä?
Re: Huoh.
naaloop, 23.12.2001 23:20:04		 Pisteet: 0
Bugikorjaus tulee nopeasti -> whinewhinejoo ei sitä löydä tuolta niitten sivuilta, nopeesti tuli vaan ku painostettiin. Jos fiksi tulisi nopeasti, ja olisi helppo löytää täällä varmasti itkettäisiin miten se on vaikee tallentaa kovolle tai miten sen installi kestää liian kauan tms.
päivityksen löytyminen lienee varsin oleellista sen hyödyntämiseksi.
ja se, että päivityspaketteja ei ihan noin vaan saa imutettua levylle, on oikeasti vittumaista. kyllä on hermo palanut aikanaan monta kertaa kun windowsin uudelleenasenusten jälkeen on joutunut venyttämään puhelinlaskua erilaisia päivityspaketteja ja koodekkeja ladattaessa.

Niin se vaan taitaa olla että joidenkin mielestä MS ei pysty tekemään mitään oikein, ei vaikka kuinka yrittäisi.
ehkä MS ei pysty tekemään mitään oikein. välillä ainakin tuntuu siltä. joskus myös tuntuu, ettei ne edes yritä.
Kareth Kyllä sitä taas pari kuukautta myöhässä
Kareth, 21.12.2001 11:08:30		 Pisteet: 0
Eikös microsoft ilmoitanut ettei heidän tuotteiden tietoturva aukkoja saisi edes julkistaa! Tai ainakin pitäisi kuukausi odottaa. Laki ehdotus heikko laatuisten tuotteiden myynti kiellosta. Joutuisi monopoli yhtiötkin panostamaan laatuun, vittu mitä kusetusta koko yhtiö. Joulurauhan kunniaksi pienet jouluraivarit.
PC. Lääke mätää omenaa vastaan
Re: Kyllä sitä taas pari kuukautta myöhässä
Anonyymi kommentoija, 21.12.2001 14:41:30		 Pisteet: 0
Tuo aukkohan keksittiin jo viisi viikkoa sitten. Ja suurinpiirtein kuukauden tulitaukoahan Micro$oft oli pyytänyt. Uutisissa on ollut että ne tietoturva-asiantuntijat jotka ovat antautuneet Micro$oftille olisivat saaneet ison kasan Micro$oft tuotteita pikkurahalla.
Re: Kyllä sitä taas pari kuukautta myöhässä
Anonyymi kommentoija, 28.12.2001 13:03:06		 Pisteet: 0
Tuo aukkohan keksittiin jo viisi viikkoa sitten. Ja suurinpiirtein kuukauden tulitaukoahan Micro$oft oli pyytänyt. Uutisissa on ollut että ne tietoturva-asiantuntijat jotka ovat antautuneet Micro$oftille olisivat saaneet ison kasan Micro$oft tuotteita pikkurahalla.
.. ohhoh kyllä mahtoi kannattaa ..
Re: Kyllä sitä taas pari kuukautta myöhässä
Anonyymi kommentoija, 22.12.2001 10:30:52		 Pisteet: 0
Laki ehdotus heikko laatuisten tuotteiden myynti kiellosta.
Mitäs jos menisit (takaisin) perus kouluun korjaamaan tuon yhdys sana virhe ongelmasi.
Kareth Re: Kyllä sitä taas pari kuukautta myöhässä
Kareth, 22.12.2001 16:06:52		 Pisteet: 0
Laki ehdotus heikko laatuisten tuotteiden myynti kiellosta.
Mitäs jos menisit (takaisin) perus kouluun korjaamaan tuon yhdys sana virhe ongelmasi.
Täh enhän ole sieltä edes pääsyt pois.
PC. Lääke mätää omenaa vastaan
Re: Kyllä sitä taas pari kuukautta myöhässä
Anonyymi kommentoija, 22.12.2001 14:38:55		 Pisteet: 0
Päinvastoin, Microsoftin edustajahan ilmoitti jonkin aikaa sitten, että waretetun XP:n käyttäjät altistavat koneensa murroille. Unohti vain kertoa, että koskee myös julkaistavaa versiota. :)
Re: Kyllä sitä taas pari kuukautta myöhässä
Anonyymi kommentoija, 28.12.2001 18:19:57		 Pisteet: 0
Eikös microsoft ilmoitanut ettei heidän tuotteiden tietoturva aukkoja saisi edes julkistaa! Tai ainakin pitäisi kuukausi odottaa. Laki ehdotus heikko laatuisten tuotteiden myynti kiellosta. Joutuisi monopoli yhtiötkin panostamaan laatuun, vittu mitä kusetusta koko yhtiö. Joulurauhan kunniaksi pienet jouluraivarit.
Laske *yhdys sana* virheet... Enemmän, kuin bugeja wintikassa ;)
Aukkojen koosta
E.T, 21.12.2001 22:03:45		 Pisteet: 0
Näissä microsoftin tuotteissa on enemmän tietoturva-aukkoja kuin juustossa on reikiä.
Nuo aukotkin ovat vielä ennnemmin lentotukialuksen läpimentäviä kuin auton mentäviä!

Kyllä MicroShit osaa!

Mitenköhän paljon Winblowsin koodista on alkuperäistä kaikkien päivitysten jälkeen?
(tai Internet Exploderin)
"The power of accurate observation is commonly called cynicism by those who have not got it."
-George Bernard Shaw
jii just just..
jii, 21.12.2001 09:05:26		 Pisteet: +1
Noniin. Tästä se alkaa.

Tämä polku on pitkä, vaikea ja kivinen. Se kestää useita vuosia ja siitä puhutaan vielä pitkään. Se ei ehkä pääty koskaan, ehkä silloin kun pääosaesittäjä kuolee sukupuuttoon.

Sen polun nimi on "Windows XP:n kehittyminen tietoturvalliseksi käyttöjärjestelmäksi."

Tulemme vielä näkemään useita tietoturvakorjauksia ko. käyttikseeen jos vanhat merkit pitävät paikkansa. Eikä kyse ole siitä että tuote olisi julkaistu liian aikaisin. Tuote on varmasti todettu täysin valmiiksi ja joku Mikkisoftan sisäinen tietoturvaryhmä on todennut että "joo, kyl tän pitäs kai olla ihan ookoo".

Kivaa kakkaa tungetaan kuluttajapoloille. Montakohan iltaa menee jos normikuluttaja päivittää juuri ostamaansa XP:hen kaikki tarvittavat tietoturvapäivitykset? Siis tarkoitan sitä aikaa kun käyttäjä on ostanut käyttiksen ja kun se siitä luopuu. Olettaen että käyttäjä ei luovu käyttiksestä piakkoin "koska sen päivittämisessä on niin iso työ".
Justus Re: just just..
Justus, 27.12.2001 09:10:00		 Pisteet: 0
valmiiksi ja joku Mikkisoftan sisäinen tietoturvaryhmä on todennut että "joo, kyl tän pitäs kai olla ihan ookoo".
Varmaankin kuitenkin on ollut kyseessä ison talon ongelma, missä on monta teamia jotka hoitavat omia osiaan ja yhteispeli tekee sitten mokia. Ei mikkisoftallekaan ihan koulunpenkiltä mennä koodaamaan, kokemusta täytyy olla.

Nimim. sattuu sitä paremmissakin piireissä (iTunes..)
Memes don't exist. Tell your friends.
loki rumba
loki, 21.12.2001 11:58:49		 Pisteet: +1
Kivaa kakkaa tungetaan kuluttajapoloille. Montakohan iltaa menee jos normikuluttaja päivittää juuri ostamaansa XP:hen kaikki tarvittavat tietoturvapäivitykset? Siis tarkoitan sitä aikaa kun käyttäjä on ostanut käyttiksen ja kun se siitä luopuu. Olettaen että käyttäjä ei luovu käyttiksestä piakkoin "koska sen päivittämisessä on niin iso työ".
Ensinnäkin pitää tietenkin olettaa että normikuluttajalla yleensäkin on jonkinlainen keino päästä nettiin. Toisekseen, suurin osa käyttäjistä ei varmaan edes tiedä päivitysmahdollisuuksien olemassaolosta.

Itse ainakin asennan Winin uudestaan vähintään noin kerran kuussa, ja jos olisin 56k-modeemillani joka kerta päivittänyt Winin ja Officen paraatikuntoon, niin siihen olisi palanut ihan mukavasti rahaa ja aikaa.

Microsoftilla on kummallinen käytäntö noiden päivitysten kanssa - päivitysten imurointi koneelle exeinä (ettei niitä joka ainut kerta tarvitsi imuroida uudestaan) tuntuu olevan kiven alla. Ja jos minäkään (en nyt tarkoita että olisin hyvä, mutta väitän olen peruskäyttäjää tietävämpi :)) en niitä löydä, niin millä sitten peruskäyttäjä ne löytää? Ja kuten aikaisemmin todettiin: millä peruskäyttäjä tietää/osaa etsiä päivityksiä muualta kuin ah-niin-luotettavasta Windows Updatesta?

Tunnen monia yhden henkilön yrityksiä, joissa sana "päivitys" on täysin tuntematon, ja joiden tietokone(e/i)lla on kaikkea elintärkeistä CAD-kuvista lähtien. Pelkään heidänkin puolestaan että kiddiet löytävät jonkun aukon jonka kautta sitten formatoivat kovon.
Esikastele kommentti
Re: rumba
Anonyymi kommentoija, 21.12.2001 12:11:51		 Pisteet: +1
Microsoftilla on kummallinen käytäntö noiden päivitysten kanssa - päivitysten imurointi koneelle exeinä (ettei niitä joka ainut kerta tarvitsi imuroida uudestaan) tuntuu olevan kiven alla. Ja jos minäkään (en nyt tarkoita että olisin hyvä, mutta väitän olen peruskäyttäjää tietävämpi :)) en niitä löydä, niin millä sitten peruskäyttäjä ne löytää? Ja kuten aikaisemmin todettiin: millä peruskäyttäjä tietää/osaa etsiä päivityksiä muualta kuin ah-niin-luotettavasta Windows Updatesta?
corporate.windowsupdate.microsoft.com <-- sieltä saa imutettua kaikki päivitykset koneelle talteen.

Saku***
Re: rumba
Anonyymi kommentoija, 21.12.2001 23:49:04		 Pisteet: 0
corporate.windowsupdate.microsoft.com <-- sieltä saa imutettua kaikki päivitykset koneelle talteen.
Paitsi, että niiden ikä oli aika iso. Olivat ennemminkin peräisin kivikaudelta.
Re: rumba
Anonyymi kommentoija, 31.12.2001 05:11:35		 Pisteet: 0
corporate.windowsupdate.microsoft.com <-- sieltä saa imutettua kaikki päivitykset koneelle talteen. Saku***
heh, tuota corporate update sivustoa ei saa operalla auki, vaan pakko oli kaivaa internet räjähtelijä taas esiin :P varmaan joku vahingossa sivustoon jäänyt bugi....
btw. kiitos linkistä.
Djadja-P Re: rumba
Djadja-P, 21.12.2001 18:10:38		 Pisteet: 0
corporate.windowsupdate.microsoft.com <-- sieltä saa imutettua kaikki päivitykset koneelle talteen.
http://corporate.windowsupdate.microsoft.com/en/de...

Ja IE 6.0 (viimeisellä turvapäivityksellä) sanoo: "Done but with errors". Eivät osaa omaa sivuaan koodata?
--
Ammutaanhan navetassakin!
Re: rumba
Anonyymi kommentoija, 24.12.2001 18:00:18		 Pisteet: 0
http://corporate.windowsupdate.microsoft.com/en/de...
No eihän tuonne edes netscapella pääse...
Re: rumba
karipk, 21.12.2001 12:51:21		 Pisteet: +1
corporate.windowsupdate.microsoft.com <-- sieltä saa imutettua kaikki päivitykset koneelle talteen. Saku***
Ja hakuehdoilla:
Windows 2000 + IE6 + Security/Critical + Last 2 weeks löytyi:

Oikein. Ei yhtään kappaletta. Eli missä siis on tuo mainitsemani IE6 header ongelman päivitys? Tämähän alkaa vaikuttaa mielenkiintoiselta. Ajatellaan että ylläpitäjä hakee kaikki päivitykset tuosta corporate updatesta. Milläköhän viiveellä ne tuonne sitten päätyvät?

Tuolla ei tainnut olla XP:tä vielä ollenkaan listoilla.
loki Re: rumba
loki, 21.12.2001 12:21:55		 Pisteet: 0
corporate.windowsupdate.microsoft.com <-- sieltä saa imutettua kaikki päivitykset koneelle talteen.
Erittäin paljon kiitoksia!
Esikastele kommentti