Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Torstai, 10.2.2005

Microsoftin uudet korjauspäivitykset paikkaavat haavoittuvuuksia

Microsoft julkisti eilen ennätykselliset 13 tietoturvatiedotetta, joista yhdeksän on luokiteltu kriittiseksi. Haavoittuvuudet liittyvät muun muuassa License Logging -palveluun, SMB-protokollaan, PNG-tiedostojen käsittelyyn, OLE- ja COM-komponentteihin sekä Internet Explorer- ja Office XP-sovelluksiin. Microsoft suosittelee, että Windows-käyttäjät vierailevat Windows Update -päivityspalvelussa mahdollisimman pian ja asentavat uudet korjauspäivitykset järjestelmiinsä.

Lue juttu oma, 10.2.2005 00:02. Lähde: Microsoft, The Register, CERT-FI

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 16 uutta / 16 )
pistettä.
Näytä vain kommentit joilla on vähintään
Jazmo Kokemus
Jazmo, 10.2.2005 11:20:26		 Pisteet: 0
Asensin itse nuo päivitykset ja kotikoneella ei esiintynyt ongelmia. Hyvä niin :)
blog -> http://blog.qkaasu.com/
Ei saisi olla ilkeä, mutta
lasseB, 10.2.2005 21:09:54		 Pisteet: 0
Jos uutinen on että korjauspäivitys paikkaa haavoittuvuuksia niin onko (kenties) todellisuus se että korjaus normaalisti tuo uusia haavoittomuuksia.

Muistaakseni MS on päättänyt toimitta korjauksia säännöllisesti, eli uutinen olisi sitten se ettei olisi enää korjattavaa tai että MS ei enää välitä reagoida korjaus tarpeisiin.
Pisterajan alittavia kommentteja piilossa.
Saltsa Re: wtf
Saltsa, 10.2.2005 11:44:49		 Pisteet: 0
Miten niitä aukkoja ja ongelmia riittääkin? melkein repesin kun luin tuota listaa: "PNG-tiedostojen käsittelyyn, Internet Explorer- ja Office XP-sovelluksiin..." Tätä ennenkin on tullut varmaan satoja korjauksia!
Kökkö yhtiö ja kökkö käyttis. Noh, itseppä en tuota windowsia käytä
No ihan vertailun vuoksi, FC3:n asennuksen jälkeen update-agent ilmoitti että yli 100 pakettia päivittämättä ja kyllä siinä jokunen aika meni, kun haki satoja megoja netistä. Ei ole linuxikaan ihan reiätön..
TuLe Re: wtf
TuLe, 10.2.2005 14:35:10		 Pisteet: 0
No ihan vertailun vuoksi, FC3:n asennuksen jälkeen update-agent ilmoitti että yli 100 pakettia päivittämättä ja kyllä siinä jokunen aika meni, kun haki satoja megoja netistä. Ei ole linuxikaan ihan reiätön..
Ei uuden version tuleminen läheskään aina tarkoita sitä, että ohjelmassa olisi ollut reikiä. Yleensä on kyse vain uusista ominaisuuksista. Tuo ei siis ole mitenkään vertailukelpoinen Windowsin korjauksiin. Jos asensit paketit FC:n asennuksen yhteydessä CD:ltä niin luonnollisesti monista paketeista on ehtiny tulla uusi versio FC3:n julkaisun jälkeen.
Saltsa Re: wtf
Saltsa, 11.2.2005 11:29:03		 Pisteet: 0
Ei uuden version tuleminen läheskään aina tarkoita sitä, että ohjelmassa olisi ollut reikiä. Yleensä on kyse vain uusista ominaisuuksista. Tuo ei siis ole mitenkään vertailukelpoinen Windowsin korjauksiin. Jos asensit paketit FC:n asennuksen yhteydessä CD:ltä niin luonnollisesti monista paketeista on ehtiny tulla uusi versio FC3:n julkaisun jälkeen.
Kyllä niistä suurin osa on bugikorjauksia tai reikien paikkaamisia, joita molempia tulee windowssiin. Esim. SP2 windows XP:hen lisäsi erilaisia lisätoimintoja ja päivitti mm. palomuuria paremmaksi. Mielestäni ihan vertailukelpoinen luku Windowssin kanssa.

Hyvänä puolena mainittakoon, että koneen voi vaan jättää ruksuttamaan ja kaikki RPM:t menee kiltisti koneelle ja buuttauksen joutuu tekemään vain yhden ainoan kerran, jotta saadaan uusi kerneli käyttöön.
daimoni Re: wtf
daimoni, 10.2.2005 12:42:44		 Pisteet: 0
No ihan vertailun vuoksi, FC3:n asennuksen jälkeen update-agent ilmoitti että yli 100 pakettia päivittämättä ja kyllä siinä jokunen aika meni, kun haki satoja megoja netistä. Ei ole linuxikaan ihan reiätön..
Unohtamatta sitä että Fedorassa on ohjelmia n. 3000 .... eli 3000 softan 100 aukkoa versus XP:n yksin 87 (secunia) aukkoa.
"Minusta on viime aikoina daimonin kommentteja lukeneena alkanut muutenkin tuntua, että äijä kuvittelee olevansa joku jumalhahmo, jonka sana on totuus ja laki."
-- Anonyymi kommentoija
feenix Re: wtf
feenix, 10.2.2005 15:00:31		 Pisteet: 0
No ihan vertailun vuoksi, FC3:n asennuksen jälkeen update-agent ilmoitti että yli 100 pakettia päivittämättä ja kyllä siinä jokunen aika meni, kun haki satoja megoja netistä. Ei ole linuxikaan ihan reiätön..
Unohtamatta sitä että Fedorassa on ohjelmia n. 3000 .... eli 3000 softan 100 aukkoa versus XP:n yksin 87 (secunia) aukkoa.
(Ihanaa miten realiteetit menee vieläkin poskelleen) Väität siis että kyseinen henkilö asensi FC3:n asentaen 3000 softaa? Jotenkin epäilen aika vahvasti. Myöskin mihin perustat väitteen, että jokaisessa paketissa olisi teoreettisesti ollut vain 1 aukko? Helposti voisi olla vaikka 20 jokaisessa. Voihan sitä laskea XP:nkin reiät samalla tavalla, eli asennuksen jälkeen ladataan SP2, eli siis yksi reikä RTM-versiossa vain...
Saltsa Re: wtf
Saltsa, 11.2.2005 11:26:35		 Pisteet: 0
Unohtamatta sitä että Fedorassa on ohjelmia n. 3000 .... eli 3000 softan 100 aukkoa versus XP:n yksin 87 (secunia) aukkoa.
Asennus oli ihan normaali desktop-asennus, eli openofficet ja tälläiset asentui. Ei siinä mitään erityisiä palvelinohjelmistoja ollut. Siis mielestäni ohjelmistoltaan lähes samanlainen kuin Windows + office + muutamat muut ohjelmat (joiden yhteenlaskettu korjauspakettien määrä tuskin ylittänee tuota reilua sataa päivitystä).

Kyllähän niitä paketteja oli, mutta todellakin FC3 on jaettu useisiin paketteihin, jotka ovat "välttämättömiä" järjestelmän toimivuuden kannalta, kuten esim. cups-paketit (tulostusmahdollisuus, joka windowssista löytyy "sisäänrakennettuna").
simison Re: wtf
simison, 10.2.2005 09:46:34		 Pisteet: 0
Miten niitä aukkoja ja ongelmia riittääkin?
Olen kuulut huhuja, että noita ohjelmistoja koodaisivat ihmiset...

Microsoft on kyllä nykyään reagoinut näihin ongelmiinsa huomattavan avoimemmin kuin aiemmin (ja ehkä nopeamminkin - tämä pitäisi jonkun fiksun kolumnistin kyllä tutkia), jotenkin koko firma on alkanut tuntua paljon asiakasläheisemmältä kuin, sanotaanko esim. reilut neljä vuotta sitten.
Epämukavaa? Sepä mukavaa.
Kotisivut & verkkoportfolio: http://www.ihminen.org
feenix Re: wtf
feenix, 10.2.2005 10:08:12		 Pisteet: 0
Olen kuulut huhuja, että noita ohjelmistoja koodaisivat ihmiset...
Ei suinkaan, Microsoftilla ne syntyvät pikkupirujen tuotoksena, Applella ne ovat Jumalan sana. Vain ouppensourse on ihmisten tekemää. Siksi näissä on niin iso ero (sotasotasota ;)

Microsoft on kyllä nykyään reagoinut näihin ongelmiinsa huomattavan avoimemmin kuin aiemmin (ja ehkä nopeamminkin - tämä pitäisi jonkun fiksun kolumnistin kyllä tutkia), jotenkin koko firma on alkanut tuntua paljon asiakasläheisemmältä kuin, sanotaanko esim. reilut neljä vuotta sitten.
Paljon on muuttunut, mutta en tiedä onko neljä vuotta sopiva ajanjakso. MS on jo vuosia tiedottanut melko avoimesti asioista, ehkä nykyään vain useammat mediat tarttuvat kiinni ja tiedottavat myös hieman järkevämmin, eikä vain tasolla "reikiä oli." Jos tilannetta vertaa tuonne jonnekin 7 vuoden taakse, ero on huomattava.

Toisaalta maailmakin on muuttunut aika paljon, nykyään on pakko tiedottaa. Ei vuosia sitten ouppensoursessakaan paljoa välttämättä kerrottu mitä on korjailtu tai päivitelty (lukuunottamatta isompia projekteja), uusi versio vain tuli ja enemmän hehkutettiin ominaisuuksia (jotka sitten joko toimivat tai ei, yleensä siltä väliltä). Nykyään turvallisuus on kaikilla mielessä, tietävät siitä mitään tai ei. Onhan se hyvä näyttää hyvältä.

Kuten eräässäkin paikassa minulta kysyttiin kun huomasivat käyttäväni Thunderbirdiä eikä käytännössä pakollista Outlookia: "kai se on yhtä turvallinen kuin Outlook?" Huvittuneena en jaksanut sitten mitään ihmeempiä selitellä, sanoin vain että "joo." (Ei sillä että Outlookissa kauhean hirveitä ongelmia viime aikoina olisi ollutkaan)

Ja kuten sanottu, reikiä on joka puolella. Jos täällä raportoitaisi kaikki reiät kaikissa maailman softissa, alkaisi bitit loppua käsiin. Paljon softaa korjataan kertomatta siitä juuri kenellekään (kuten ouppensoursepuolella: löytyi puskuriylivuoto, hupsista, korjataan seuraavaan versioon ja kaikki kuitenkin distron päivitykset vetävät sisään, mitä niitä selittelemään). Ja paljon noista vioista on sellaisia ettei niitä pääsisi reikinä käyttämäänkään.
simison Re: wtf
simison, 10.2.2005 12:05:01		 Pisteet: 0
Paljon on muuttunut, mutta en tiedä onko neljä vuotta sopiva ajanjakso. MS on jo vuosia tiedottanut melko avoimesti asioista, ehkä nykyään vain useammat mediat tarttuvat kiinni ja tiedottavat myös hieman järkevämmin, eikä vain tasolla "reikiä oli." Jos tilannetta vertaa tuonne jonnekin 7 vuoden taakse, ero on huomattava.
Lähinnä XP:n olemassaolon aikana on tapahtunut paljon (4 vuotta sitten siitä taidettiin jo puhua? Emminä kunnolla muista, oon vaan multimeediohörhö).Sitä ennen yhtiön taso on ollut melko tasaista, omien vähäisten sivustaseuraamisieni perusteella todeten. Toki, kuten mainitsit, mediumeiden taso IT-uutisoinnin osalta on parantunut huomattavasti vuosien kuluessa.

ATK itsessään on tullut paljon arki- ja asiakasläheisemmäksi.
Epämukavaa? Sepä mukavaa.
Kotisivut & verkkoportfolio: http://www.ihminen.org
Saltsa Re: wtf
Saltsa, 11.2.2005 11:35:26		 Pisteet: 0
Lähinnä XP:n olemassaolon aikana on tapahtunut paljon (4 vuotta sitten siitä taidettiin jo puhua? Emminä kunnolla muista, oon vaan multimeediohörhö).Sitä ennen yhtiön taso on ollut melko tasaista, omien vähäisten sivustaseuraamisieni perusteella todeten.
Jep. Kyllä on Windowsseissa tapahtunut merkittävä harppaus, kun 98:sta siirryttiin 2k/xp järjestelmiin. Nykyään on ihan mahdoton edes kuvitella käyttävänsä 98:a, joka on sellanen bugiläjä ja toimimaton että huh huh. XP:tä kyllä käyttää melkein jopa mielellään, se on vakaa, toimiva ja helppokäyttöinen.
feenix Re: wtf
feenix, 11.2.2005 16:02:47		 Pisteet: 0
Jep. Kyllä on Windowsseissa tapahtunut merkittävä harppaus, kun 98:sta siirryttiin 2k/xp järjestelmiin. Nykyään on ihan mahdoton edes kuvitella käyttävänsä 98:a, joka on sellanen bugiläjä ja toimimaton että huh huh. XP:tä kyllä käyttää melkein jopa mielellään, se on vakaa, toimiva ja helppokäyttöinen.
Äläs nyt, kyllähän 98 toimi mukavasti, ME oli eri asia. Ei MS uskonut kun betaryhmäläisistä useampi (minäkin) ilmoitti ettei RTM-tason koodi enää toimi kunnolla juuri missään koneessa, piti saada ulos. Ja sen on nähnyt mitä moskaa se oli. Debuggikamoineen se toimi betavaiheessa suht hyvin vielä.

Vanhemmilla juuri hajosi 98, joka on asennettu keväällä 99. Ja tämäkin hajoaminen johtui ihan siitä, että levy sanoi joiltain sektoreiltaan poks. Itse käyttis vielä tuntuu toimivan, datatiedostoja kylläkin meni. Pitää katsoa tarkemmin kun menee taas huoltamaan, mutta taitaa XP tulla koneeseen, samalla kun päivittää muutenkin uudemmaksi. Saa hieman lisäominaisuuksia käyttöön niin sujuu paremmin touhuilu.

Eikä ole ollut heilläkään ongelmia virusten tai muiden kanssa, vaikka käytössä on ollut joku ikivanha virussofta (emolevyn mukana tullut) jota on päivitelty silloin kun olen ehtinyt. Samoin käyttistä on päivitelty noin puolivuosittain. Hyvin pyörii ja päivittäisessä käytössä on, netissäkin pyörivät IEllä vaikka kuinka. Toisaalta taidan yrittää Firefoxiin opettaa seuraavaksi, ihan vain siksi että saa mainokset ihanalla adblockilla pois.
kakoskin Re: wtf
kakoskin, 10.2.2005 10:34:08		 Pisteet: 0
Hhhmm, tehdäänpä hypoteesi että Windows XP koodissa
on samassa suhteessa bugeja kuin Linuxin kernelissä eli 1: 10 000,
kun lisäksi tiedetään että koodirivejä on noin 40 miljonaa
niin bugeja siis vähintään 4000. Jos noista bugeista 10 % altistaa
tietoturvauhille niin päästään 400 reikään.
Ja tämä aika _ankarilla_ olettamuksilla.
feenix Re: wtf
feenix, 10.2.2005 15:05:43		 Pisteet: 0
Hhhmm, tehdäänpä hypoteesi että Windows XP koodissa on samassa suhteessa bugeja kuin Linuxin kernelissä eli 1: 10 000,
kun lisäksi tiedetään että koodirivejä on noin 40 miljonaa
niin bugeja siis vähintään 4000. Jos noista bugeista 10 % altistaa
tietoturvauhille niin päästään 400 reikään.
Ja tämä aika _ankarilla_ olettamuksilla.
Jep, olettamuksia paljon, mutta hyvinkin voi olla mahdollista. Samoin voi laskea vaikkapa KDE-projektin sisältämiä vikoja tai Gnomen tai jonkun muun. Niissäkin on niitä hyvin paljon. Riippuu aina tietysti softan osasta onko se reikä vai vaan vika, Windowsin koodista iso osa ei ole kosketuksissa sellaisten osien kanssa, että oikeaa reikää voisi syntyä, mutta mahdotontahan se on sanoa onko tuo 10% arvio järkyttävästi liian iso vai aivan liian pieni. Puhumattakaan kirjastoista, kyllähän aikoinaan ollut PNG-ongelmakin koski aika laajaa sovelluskirjoa kun libpng on ollut niin suosittu, joten vaikka ohjelmistotalo X tekisi miten laadukasta koodia, voivat käytetyt kirjastot olla vaikka miten täynnä reikiä. (Onneksi teenkin melkein kaiken itse, voi syyttää vain itseään jos sattuu niin harvinainen tilanne syntymään että olisi jotain vikaa softassa ;)

Se olisi kiva kun ihmiset tosiaan ymmärtäisivät että jokaisessa softassa on vikoja. On ne sitten speksien huonoudesta (tai puutteesta) johtuvia tai siitä ettei oteta huomioon sopivia tilanteita tai mistä hyvänsä. Viimeksi mainittu varsinkin aiheuttaa paljon ongelmia, hyvin moni softa on "viallinen" ainakin siksi että sekoaa sopivan väärästä syötteestä. Ja pahimmat eivät edes sano mitään järkevää sen jälkeen.