Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Perjantai, 9.11.2001

Online Solutions Oy löysi IE:stä vakavan tietoturva-aukon

Jyväskyläläinen tietotekniikka-alan yritys Online Solutions Oy on löytänyt Internet Explorer 5.5 ja Internet Explorer 6.0 -selaimista vakavan tietoturva-aukon. Selaimessa olevan virheen takia ulkopuolisten on mahdollista saada selville selaimen käyttäjän henkilökohtaisia tietoja selaimen käyttämästä evästetiedostosta (cookie). "Ilmoitimme virheestä Microsoftille 1. marraskuuta. Microsoft pyysi meitä vaikenemaan asiasta, mutta samalla se käynnisti toimet virheen korjaamiseksi. Koska vika on vakava ja Microsoft ei ole ilmoittanut korjauksesta seitsemän päivän aikana, päätimme julkistaa asian," kertoo yrityksen toimitusjohtaja Jyrki Salmi.

Lisätietoja bugista on saatavilla Microsoftin julkaisemasta tietoturvatiedotteesta (MS01-055). Microsoft on luokitellut löytyneen bugin vakavuusasteen korkeaksi (high), vaikka Microsoftin omasta vakavuusasteiden määrittelytaulukosta kyseistä astetta ei löydykään.

Lue juttu oma, 9.11.2001 11:32. Lähde: Keskisuomalainen.net

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 31 uutta / 31 )
pistettä.
Näytä vain kommentit joilla on vähintään
JÄLLEEN
Anonyymi kommentoija, 10.11.2001 09:29:42		 Pisteet: 0
JÄLLEEN kerran uusi tietoturva-aukko. JATKUVASTI löytyy uutta ja uutta IE:stä. Eipä ole pitkä aika Nimdasta ja sen hyödyntämästä bugista.

Olisiko jossain ajantasalla olevaa listaa näistä luokkaa "vakava" löydetyistä bugeista IE:ssä?
Pisterajan alittavia kommentteja piilossa.
JuZZe Re: JÄLLEEN
JuZZe, 10.11.2001 22:43:23		 Pisteet: 0
JÄLLEEN kerran uusi tietoturva-aukko. JATKUVASTI löytyy uutta ja uutta IE:stä. Eipä ole pitkä aika Nimdasta ja sen hyödyntämästä bugista. Olisiko jossain ajantasalla olevaa listaa näistä luokkaa "vakava" löydetyistä bugeista IE:ssä?
Ei se ole bugi, vaan kartoittamaton lisäominaisuus ;-)
"Koneestänne löytyi vakava vika/bugi joka voi aiheuttaa tietoturvavuotoja, levyrikkoja, päänsärkyä ja onnettomuuksia. Suosittelemme heti ongelman hoitamista ja parasta olisi poistaa koko ominaisuus. Onglemaan on julkaistu tietoturvatiedote (Anti-MS 001WIN), lisätietioa www.fuckmicrosoft.com
Manuaalisesti tämä käy helpoiten kirjoittamalla Format C/D: ja asentamalla toisen käyttöjärjestelmän. Pahoittelemme tapahtunutta, asia on jo oikeudessa."
Minun kantani/mielipiteeni/näkökulmani asiaan. Minä pidän siitä kiinni kunnes toisin todistetaan, korjatkaa kuitenkin jos olen väärässä.
Re: JÄLLEEN
Anonyymi kommentoija, 12.11.2001 10:44:54		 Pisteet: 0
JÄLLEEN kerran uusi tietoturva-aukko. JATKUVASTI löytyy uutta ja uutta IE:stä. Eipä ole pitkä aika Nimdasta ja sen hyödyntämästä bugista. Olisiko jossain ajantasalla olevaa listaa näistä luokkaa "vakava" löydetyistä bugeista IE:ssä?
Huomaa ero IE:n ja IIS:n välillä.
Re: JÄLLEEN
mongeron, 12.11.2001 16:18:41		 Pisteet: 0
JÄLLEEN kerran uusi tietoturva-aukko. JATKUVASTI löytyy uutta ja uutta IE:stä. Eipä ole pitkä aika Nimdasta ja sen hyödyntämästä bugista. Olisiko jossain ajantasalla olevaa listaa näistä luokkaa "vakava" löydetyistä bugeista IE:ssä?
Huomaa ero IE:n ja IIS:n välillä.
NIMDA käytti sekä IE:ssä että IISissä olevia aukkoja, eri tavoin, mutta kuitenkin. IE:n Javascript-bugin kautta NIMDA tartutti itsensä saastuneen IIS-palvelimen käyttäjien koneeseen.
Voisivat välillä tehdä jotain hyödyllistä
Anonyymi kommentoija, 10.11.2001 10:19:25		 Pisteet: 0
Milloinkohan M$ ryhtyisi harjoittamaan kunnollista ja vastuullista politiikka ohjelmistokehityksen saralla. Jos vaikka kouluttaisivat edes 10% markkinointi organisaatiostaan etsimään tietoturva bugeja tuotteistaan, niin heillä olisi siinä valtava testi armeija ja samalla kyky kaivaa itse nämä featuret esiin, eikä tarvitsisi asioita tiedottaa.

Microsoftin politiikkaa kun tuntuu olevan security lisääntyy tietämättömyydestä. Se että tuote on ilmainen ei merkitse yhtään mitään onko tuote turvallinen koska he tarjoavat tuotteitaan käyttöön. Jos tuotteeseen ryhdytään soveltamaan niitä argumentteja ei se eroa sen jälkeen mitenkään troijalaisista. Ei virkusetkaan mitään maksa. Ja Ie on yksi pahiten levinneitä troijalaisia. Ainoa ero on se että siinä ei ole takaportteja vaan takaikkunoita, ja paljon. Eikä disclamer sivuilla kerrota että käyttämällä tätä tuotetta olet suuressa vaarassa menettää yksityisyytesi.
AIka hulvatonta toimintaan tolta yritykseltä
Anonyymi kommentoija, 13.11.2001 14:49:36		 Pisteet: 0
Jos pitää paikkansa esim mitä tietoviikon sivuilla artikkelissa asiasta oli, että Online Solutions ilmoitti tuon aikaisen paljastuksen syyksi sen, että adminit voi laittaa cookiet pois päältä kun kerran tälläinen vika on löytynyt..

Joo ja kun laittaa ne pois päältä, puolet webbipalveluista lakkaa toimimasta (ok vähän liioittelua). Entäs sitten ne miljoona kotikäyttäjää jotka eivät osaa tehdä asialle mitään ja joutuvat Online Solutionsin takia "kärsimään" suotta. Ei kaikissa paikoissa ole adminia joka asialle jotain tekisi tai edes kerkiäisi tehdä.
Re: AIka hulvatonta toimintaan tolta yritykseltä
Anonyymi kommentoija, 13.11.2001 16:09:19		 Pisteet: 0
Joo ja kun laittaa ne pois päältä, puolet webbipalveluista lakkaa toimimasta (ok vähän liioittelua). Entäs sitten ne miljoona kotikäyttäjää jotka eivät osaa tehdä asialle mitään ja joutuvat Online Solutionsin takia "kärsimään" suotta. Ei kaikissa paikoissa ole adminia joka asialle jotain tekisi tai edes kerkiäisi tehdä.
Vähän järkeä tähänkin hommaan. Ei tietoturvaongelman löytäjä ole ongelmaa luonut vaikka microsoft tällaisen kuvan haluaakin antaa. Kyllä tämä johtaa sylttytehtaalle eli microsoft on taas tehnyt tietoturvatonta softaa.

Tosin mitään muuta ei voi odottaakaan.
anylo Haksu
anylo, 9.11.2001 14:00:15		 Pisteet: 0
Eep, haksun huumorisivujen tunnari ja salasana pölähti esiin selkokielisenä. :(

Kylläpä nyt taas kelpaa kaivaa esiin wanhat haalarit, joiden lahkeessa komeilee Online Solutions Oy. :)
Justus Ja mitä tästä seuraa
Justus, 9.11.2001 12:04:29		 Pisteet: 0
Seuraa sitä, että kun uusi päivitys IE:stä tulee, on siinä cookievaroitukset defaulttina ja tuskin saa edes pois päältä. Microsoft teettää jopa tutkimuksia puoluettomilla tahoilla, ettei heidän tuotteensa missään nimessä lähetä mitään tietoja Microsoftille, ne toitottavat sitä joka paikassa, että mitään ei lähetetä.
Memes don't exist. Tell your friends.
peewee Re: Ja mitä tästä seuraa
peewee, 9.11.2001 12:34:31		 Pisteet: +1
Seuraa sitä, että kun uusi päivitys IE:stä tulee, on siinä cookievaroitukset defaulttina ja tuskin saa edes pois päältä. Microsoft teettää jopa tutkimuksia puoluettomilla tahoilla, ettei heidän tuotteensa missään nimessä lähetä mitään tietoja Microsoftille, ne toitottavat sitä joka paikassa, että mitään ei lähetetä.
Siismitähäh...oonko tyhmä, kun en tajunnut hittojakaan tuosta vastauksesta?

Tuo Active Scriptingin disabloiminen on muuten tosiaan aika huono ratkaisu. Hyvänä esimerkkinä on tämän Online Solutionsin saitti. Kun sitä selailee IE:llä ilman Active Scriptingiä, niin ulkoasu muuttuu mukavasti. Eihän tämä varsinaisesti kai CSS:ien käyttöä estä, mutta jos on eri tyylisivut eri selaimielle ja ne valitaan scriptinpätkällä niin sitten. Lisäksi voi sitten patchin hakeminen IE:hen (sitten joskus, kun se julkaistaan) olla hankalaa, kun ei tuo Windows Updatekaan taida toimia ilman scriptejä. No voihan sen Active Scriptingin laittaa sitten takaisin päälle, tai hakea patchin jostain muualta, mutta kunhan nyt purnaan.
"Impotentit ei turhia jäykistele"
Kareth Se on väärin vasta kun jäät kiinni
Kareth, 10.11.2001 17:46:37		 Pisteet: 0
Ehkä jotain microsoftin asenteesta kaikkeen turvallisuuteen kertoo se että BigFix ehdotti turvatoimenpiteet tähänkin tautiin ja sen jälkeen ei Microsoft update toiminut. Eli mitä tästä opimme Microsoft on ilmeisesti tiennyt koko jutun ja käyttänyt tätä hyväksi. Ei, en minä ole paranoidi vaan te muut olette pessimistejä.
PC. Lääke mätää omenaa vastaan
peewee Tietoturvaa
peewee, 9.11.2001 11:52:49		 Pisteet: +1
"The person who discovered this vulnerability has chosen to handle it irresponsibly, and has deliberately made this issue public only a few days after reporting it to Microsoft. It is simply not possible to build, test and release a patch within this timeframe and still meet reasonable quality standards."

No tuostahan on ollut keskustelua jo jonkun aikaa. Eiköhän tämä bugin julkaiseminen vain nopeuta Microsoftin korjausprosessia. Ja kun yksityiskohtia ei ole julkistettu, niin turha on moittia bugin paljastanutta. Online Solutionsin sivuilla ainakin sanotaan näin "Koska korjausta ei ole vielä saatavilla kuvaamme ongelmaa vain hyvin yleisellä tasolla välttääksemme sen laajan hyväksikäytön."

Tarkat bugikuvaukset rohkaisevat varmaankin kokeilemaan bugien hyväksikäyttämistä, mutta tässä tapauksessa Microsoftin on mielestäni naurettavaa edes mainita termiä "reasonable quality standards".
"Impotentit ei turhia jäykistele"
Re: Tietoturvaa
Anonyymi kommentoija, 9.11.2001 18:56:20		 Pisteet: 0
"The person who discovered this vulnerability has chosen to handle it irresponsibly, and has deliberately made this issue public only a few days after reporting it to Microsoft. It is simply not possible to build, test and release a patch within this timeframe and still meet reasonable quality standards."
Onhan se totta että Microsoftin kämmihän tuo perinpohjaisesti on. Toisaalta IE on ilmainen tuote, jossa on aika selkeät disclaimerit (en tosin tiedä miten käyttöjärjestelmän mukana bundlatut IE:t vaikuttavat asiaan).

Silti tässä haiskahtaa mielestäni tarve päästä julkisesti elvistelemään että "hei, meidän firma löysi bugin". Tuikituntematon pikkufirma jolla on mieletön kiire ilmoittaa maailmalle löydöstään. En usko että viikon odottaminen olisi oleellisesti tuottanut lisävahinkoa selainkäyttäjille.
Re: Tietoturvaa
Anonyymi kommentoija, 10.11.2001 00:18:42		 Pisteet: 0
Sehän odotti viikon, mutta Microsoft ei varottanut bugistaan... joten jonkun muun oli ase tehtävä. Vai olisko sun kivampi olla kun et tiedä - että joku muu tietä vaikka sun salasanas tai vaikka luottokortin numerot...?

Mieti vähän vaikka samalla sitä passportia...
Re: Tietoturvaa
Anonyymi kommentoija, 10.11.2001 05:43:16		 Pisteet: 0
Silti tässä haiskahtaa mielestäni tarve päästä julkisesti elvistelemään että "hei, meidän firma löysi bugin". Tuikituntematon pikkufirma jolla on mieletön kiire ilmoittaa maailmalle löydöstään. En usko että viikon odottaminen olisi oleellisesti tuottanut lisävahinkoa selainkäyttäjille.
Haiskahtaa mikä haiskahtaa, olennaista on mielestäni se, että näistä asioista tiedotetaan avoimesti. Onhan nähty jo monet kerrat, että MS ei muuten suo näille asioille tarvittavaa huomiota.
kinnunen Re: Tietoturvaa
kinnunen, 9.11.2001 12:38:04		 Pisteet: +1
"Koska korjausta ei ole vielä saatavilla kuvaamme ongelmaa vain hyvin yleisellä tasolla välttääksemme sen laajan hyväksikäytön."
Ei pidä paikkaansa, ainakaan enää. BugTraqissa on tarkka kuvaus siitä miten exploitti toimii, ja Online Solutionsilla on sivu jossa tuota voi käydä testaamassa (ja hyvin näkyy toimivan).

http://www.securityfocus.com/archive/1/225343
http://www.solutions.fi/index.cgi/extra_iebug
peewee Re: Tietoturvaa
peewee, 9.11.2001 13:03:49		 Pisteet: +1
Ei pidä paikkaansa, ainakaan enää. BugTraqissa on tarkka kuvaus siitä miten exploitti toimii, ja Online Solutionsilla on sivu jossa tuota voi käydä testaamassa (ja hyvin näkyy toimivan).
Näköjään juu ja onpas kaiken lisäksi helppo toteuttaa vaikka itse. Sitä en kyllä tajua, kuka tallettaisi käyttäjän salasanan cookiehen. Esim. ASP:n session-muuttujathan käyttävät kai cookieita ja monella sivustolla niihin voi olla tallennettu vaikkapa käyttäjätunnukset, mutta ei ehkä kuitenkaan salasanaa.

This page displays the cookies found on your browser for site sektori.com:
Cookies:
sektori=d79e85bea89cd0f8d0caf9f2e85f9c85
"Impotentit ei turhia jäykistele"
bungle Re: Tietoturvaa
bungle, 9.11.2001 14:42:53		 Pisteet: +1
Sitä en kyllä tajua, kuka tallettaisi käyttäjän salasanan cookiehen.
Salasanaa ei yleensäkään selväkielisenä tulisi tallentaa yhtään mihinkään järjestelmään.

Esim. ASP:n session-muuttujathan käyttävät kai cookieita
MS ASP tallentaa memory cookieen session id:n. Muut sessioon liittyvät muuttujat ja oliot sijaitsevat palvelimella.
--
"See the animal in his cage that you built, are you sure what side you're on?" -- Trent Reznor
Datamike Re: Tietoturvaa
Datamike, 9.11.2001 13:38:26		 Pisteet: 0
En tiedä ASP:n sessioista, mutta eikö ainakin PHP:n sessiomuuttjien arvot ole kryptattu. Eli vaikka saisit sen käsiisi niin et siitä paljon hyötyi.

Mutta netissä on saatavilla, erittäin suosittujakin, softia (esim. PHP Auth scriptejä) jotka käyttävät mieluummin cookieita. Ne tallentavat cookieen sekä käyttäjänimen että salasanan. Sillä tavoin voi käyttäjän helposti tunnistaa kun hän tulee takaisin.
"Given enough eyeballs, all bugs are shallow."
Re: Tietoturvaa
Anonyymi kommentoija, 9.11.2001 15:11:47		 Pisteet: 0
PHP:n sessiomuuttujat ei ole kryptattu (siis jos puhutaan sisäänrakennetusta sessiohallinnasta), vaan ne on täyttä sotkua. salasanoja tms ei niissä missään vaiheessa ole. mutta sessiomuuttujan arvon tunteminen mahdollistaa ns session hijackin, eli voi ryöstää sen www yhteyden näppärästi siitä välistä, ja se on vähän ikävä.
bungle Re: Tietoturvaa
bungle, 9.11.2001 15:33:46		 Pisteet: 0
PHP:n sessiomuuttujat ei ole kryptattu (siis jos puhutaan sisäänrakennetusta sessiohallinnasta), vaan ne on täyttä sotkua. salasanoja tms ei niissä missään vaiheessa ole. mutta sessiomuuttujan arvon tunteminen mahdollistaa ns session hijackin, eli voi ryöstää sen www yhteyden näppärästi siitä välistä, ja se on vähän ikävä.
Silloin kun tällaisesta hijackistä voi olla haittaa, onkin syytä käyttää muita suojauksia (esim. SSL) tai toteuttaa asia toisin. En tosin usko, että pelkkä session id:n tunteminen avaa pääsyä toisen käyttäjän sessioon. Tämän lisäksi pitää luultavasti tietää session ip-osoite, referrer, ym., joiden väärentäminen menee sitten jo aavistuksen verran vaikeammaksi. (Lisäksi sessiot voidaan asettaa vanhentuviksi tietyn idle ajan jälkeen.)
--
"See the animal in his cage that you built, are you sure what side you're on?" -- Trent Reznor
Re: Tietoturvaa
Anonyymi kommentoija, 9.11.2001 17:48:33		 Pisteet: 0
PHP:n sessiomuuttujat ei ole kryptattu (siis jos puhutaan sisäänrakennetusta sessiohallinnasta), vaan ne on täyttä sotkua. salasanoja tms ei niissä missään vaiheessa ole. mutta sessiomuuttujan arvon tunteminen mahdollistaa ns session hijackin, eli voi ryöstää sen www yhteyden näppärästi siitä välistä, ja se on vähän ikävä.
Silloin kun tällaisesta hijackistä voi olla haittaa, onkin syytä käyttää muita suojauksia (esim. SSL) tai toteuttaa asia toisin. En tosin usko, että pelkkä session id:n tunteminen avaa pääsyä toisen käyttäjän sessioon. Tämän lisäksi pitää luultavasti tietää session ip-osoite, referrer, ym., joiden väärentäminen menee sitten jo aavistuksen verran vaikeammaksi. (Lisäksi sessiot voidaan asettaa vanhentuviksi tietyn idle ajan jälkeen.)
Ei pidä alkuunkaan paikkaansa. Sessiota ja IP:tä ei kannata sitoa toisiinsa, siihen on erittäin monta syytä. Ja ei siitä ole tietoturva mielessä mitään hyötyä. Koska ip voidaan kaapata aivan helposti samalla kertaa. Mutta siihen on myös monta muuta syytä. Esim proxy ja load balancing. SSL olisi kyllä hyvä mutta ei se aukotonkaan ole, varsinkaan IE maailmassa koska sekin voidaan kaapata.
heko Re: Tietoturvaa
heko, 10.11.2001 13:02:28		 Pisteet: 0
Tämän lisäksi pitää luultavasti tietää session ip-osoite, referrer, ym., joiden väärentäminen menee sitten jo aavistuksen verran vaikeammaksi. (Lisäksi sessiot voidaan asettaa vanhentuviksi tietyn idle ajan jälkeen.)
Sessio kannattaa, aivan, sitoa johonkin muuhunkin kuin keksiin tai URLin mukana kulkevaan SIDiin. IP-osoite tai referrer ovat aika huonoja - varsinkin, kun referrerin lähetyksen voi jättää useista selaimista pois, ja kun muistaa, että useat ihmiset joutuvat pakostakin käyttämään veppia proxyn läpi. Voi esimerkiksi arpoa jonkin mielivaltaisen ``seskey''-muuttujan, jota kuljettaa POST/GETillä mukana, ja tallettaa sen omaan autentikaatiotietokanaan. Sessiomuuttujien on sitten pidettävä yhtä tuon seskeyn kanssa. Näin brute forcella tai keksin tietämällä joutuu jo arvuuttelemaan kahta muuttujaa.

Tämäkään ei tietenkään ole varsinkaan ilman HTTPS:ää suinkaan täysin turvallista, mutta vaatii ainakin hieman enemmän yritystä ulkopuolisilta.
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
että näin..
rugueux, 9.11.2001 11:39:34		 Pisteet: 0
Solutionsin ilmoituksesta Microsoftille on nyt yli viikko ja korjausta ei vielä ole saatavilla. Luulisi koodareiden tekevän töitä 24h/vrk, kunnes korjaus ongelmaan on valmis. Ehkä odotan liikoja?

Kuten usein on sanottu, monen yrityksen tuotteissa on tietoturva-aukkoja, mutta Microsoft tuntuu reagoivan omien tuotteidensa korjauksiin aivan liian köykäisesti. Tosin testiversioita erilaisiin korjauksiin on saatavissa, kunhan soittaa Microsoftille ja vaatii niitä. Olen saanut muutaman tarvitsemani päivityksen sähköpostilla, suosittelevat aina ensin odottamaan, että tulee seuraava Service Pack missä aukko on jo korjattu, mutta jos siihen ei ole mahdollisuutta, niin antavat testikäytössä olevia korjauksia.
--
Mihin on kadonnut perinteinen harakointi?
setae Re: että näin..
setae, 9.11.2001 18:04:18		 Pisteet: +1
Solutionsin ilmoituksesta Microsoftille on nyt yli viikko ja korjausta ei vielä ole saatavilla. Luulisi koodareiden tekevän töitä 24h/vrk, kunnes korjaus ongelmaan on valmis. Ehkä odotan liikoja?

Tietoturva on nykyään asia, johon pitäisi kyllä suhtautua todella vakavasti. Jos softatalo, jonka tuotteesta reikä on löytynyt, toimisi esimerkillisesti, ilmoittaisivat nämä välittömästi aukon löytäneelle taholle, miten aikovat reagoida, ja mahdollisen aikataulun.

Jos aukon löytänyt taho tänä aikana (ennen softatalon ilmoittamaa aikaa jolloin korjaus pitäisi olla ulkona) ilmoittelee siitä sivustoille ym. exploit-scripteineen, on tämä mielestäni käyttäytynyt epäasiallisesti.

Softatalon taas päivityksensä valmiiksi saatuaan (sekä testattuaan..!) tulisi ilmoittaa siitä jokaiseen ns. tärkeen paikkaan, kuten bugtrack ym., ja hyvän tavan mukaisesti kertoa siinä tahojen nimet, jotka kyseisen aukon ovat löytäneet. Ja mielellään myös tarkka kuvaus (jos nyt ei exploitia sentään), miten aukko esiintyy, millä järjestelmillä, miten siltä voi suojautua ja mistä korjaussarja on noudettavissa.
Re: että näin..
roude, 10.11.2001 13:29:32		 Pisteet: 0
Eli mitä et tiedä ei voi satuttaa vaikka muut siitä tietäisivätkin?

Tuo bugeista ilmoittaminen on kaksi teräinen miekka. Olisiko parempi kertoa ihmisille, että silta jolla kävelette on laho, silläkin uhalla että joku menee sillalle hyppimään ja romauttaa sen. Vai ylläpitää valmistajan kunnia ja yrittää korjata silta huomaamattomasti, vaikka muutama ihminen sillanläpi putoaisikin.

Itse katson että kaikki tiedottamien tietoturva onhgelmista vain parantaa käyttäjien turvallisuutta. Se että onko se parasti aina kohteena olevan imagolle on minusta täysin sivuseikka.

Siinä vaiheessa kun MS tai joku muu ohjelmisto talo ilmoittaa vastaavansa softan bugien mahdollisesti aiheuttamista vahingoista, katson että asioista voidaan vaieta tiettyyn rajaan asti.
setae Re: että näin..
setae, 10.11.2001 15:04:17		 Pisteet: 0
Eli mitä et tiedä ei voi satuttaa vaikka muut siitä tietäisivätkin? Tuo bugeista ilmoittaminen on kaksi teräinen miekka. Olisiko parempi kertoa ihmisille, että silta jolla kävelette on laho, silläkin uhalla että joku menee sillalle hyppimään ja romauttaa sen.
Jos tilanne on sellainen, ettei aukolta voi "jokamies"-keinoin suojautua, ja valmistaja ilmoittaa sinulle (bugiraportin lähetettyäsi) toimittavansa korjauksen esim. 3vrk kuluessa, uskon ja väitän, että vähemmän vahinkoa tulee, kun odottelee vain kiltisti hiljakseen, että valmistaja julkaisee itse tähän bugiin liittyvän varoituksen, samalla kun heillä on korjaus saatavilla myös niille, joille jonkun ominaisuuden poistaminen käytöstä tai kiertotien rakentaminen on täyttä utopiaa.

ks. http://www.securityfocus.com/cgi-bin/archive.pl?id... mielestäni tuossa on esimerkillinen raportti , vaikka kotiinpäin vetämiseksi nyt meneekin.
Plörr
Agregaatti, 15.11.2001 11:16:26		 Pisteet: 0
Näyttäisi olevan korjaus tarjolla tuohon..
http://www.microsoft.com/technet/security/bulletin...