Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Tiistai, 4.12.2001

Outlookin päivittäminen ongelmallista

Microsoft Outlookin tietoturvaa huomattavasti parantava Outlook E-mail Security Update (OESU) on maannut Microsoftin palvelimella vapaasti ladattavissa jo yli vuoden, mutta vain alle yksi prosentti Outlookin käyttäjistä on asentanut kyseisen päivityksen. Mikäli käyttäjät olisivat asentaneet OESU:n, niin viimeaikaiset virusaallot olisivat jääneet huomattavasti pienemmiksi. OESU estää useimpien tyypillisesti viruksen sisältävien liitetiedostojen vastaanottamisen ja lähettämisen sekä Outlookin ja sen kalenterin luvattoman käytön. Useimmat virukset leviävät eteenpäin juuri Outlookin osoitekirjaa hyödyntäen.

"Microsoft on epäonnistunut OESU:sta tiedottamisessa. Lisäksi korjauspaketin löytäminen Microsoftin palvelimelta on vaikeaa ja sen dokumentointi on epäselvää. Täytyy olla todellinen salapoliisi ja tiedemies löytääkseen oikean korjauspaketin ja onnistuakseen sen asentamisessa," totesi tietoturva-asiantuntija Richard Smith Wired-lehdelle.

12 henkilön testiryhmästä vain kolme osasi imuroida ja asentaa OESU:n. Muille ongelmia tuotti se, että asennusohjelmalle piti ilmoittaa Officen asennus-cd:llä olevan data1.msi-tiedoston tarkka sijainti. "Miksi asennusohjelma ei osaa itse etsiä tarvitsemaansa tiedostoa kaikilta levyiltä," ihmetteli testiryhmän Helen LaChappelle.

Microsoft on hiljattain tuonut käyttäjien ulottuville ns. Detection Enginen, joka osaa tutkia käyttäjän koneesta löytyvien ohjelmien versiot ja mahdolliset jo asennetut päivitykset ja tarjoaa niiden pohjalta uusia päivityksiä asennettavaksi, mikäli niitä on saatavilla. Testiryhmällä oli ongelmia myös tämän automaattisen päivitysjärjestelmän kanssa, sillä useille testaajille tarjottiin imuroitavaksi tusinan verran erilaisia Outlook-päivityksiä, jotka vielä piti asentaa tietyssä järjestyksessä. "Tämä alkaa vaikuttaa täyspäiväiseltä työltä. Luulen, että otan riskin ja jätän päivittämisen väliin," totesi testiin osallistunut graafinen suunnittelija Ed Vincent.

Lue juttu K2, 4.12.2001 21:41. Lähde: Wired

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 18 uutta / 18 )
pistettä.
Näytä vain kommentit joilla on vähintään
Työlästä turvaa
Anonyymi kommentoija, 5.12.2001 16:17:40		 Pisteet: 0
Asensin 98'iin tuon secu-updaten - asentui kyllä ihan kivasti (vaati tietty bootin), mutta ei kiesus, kun oli tyypillinen MS-turvapäivitys. Outlook alkoi sitten kysellä tavallisesta tekstitiedostostakin "Are you sure...". Yleisesti käyttämämme dokulinkit se tietenkin blokkas kokonaan pois. Noiden käyttäytymistä olisi voinut säätää, mutta päivitys vaikutti siltä, että MS on lähinnä tehnyt hätäkorjauksen - kysellään käyttäjältä joka vaiheessa. Poistin päivityksen parin viikon tuskailun jälkeen.
Kypeli Mahdotonta on?
Kypeli, 5.12.2001 14:36:22		 Pisteet: +1
No kyllä tämän patchin asentaminen aika vaikeeta näyttää olevan kun ei onnistu ollenkaan! Koneessa on suomenkielinen Office 2000, CD jopa tuossa vieressä mutta eihän tuo tollo halua asentua tähän koneeseen kun se on tarkoitettu vain englanninkieliseen Office 2000. Herjaa vain ettei löytänyt odotettua Office-versiota.

Tietääkö joku löytyykö fixejä myös muille kuin tuon pässimaan kielisille Office 2000?
Re: Mahdotonta on?
Anonyymi kommentoija, 11.12.2001 15:15:42		 Pisteet: 0
Tai sitten odotettu versio on mallia SR-1. Ja niitä MSDN -versioita on vähän vaikee päivitellä.. ;)
Justus Njaa
Justus, 4.12.2001 23:58:22		 Pisteet: +1
No mitenhän on. Monet eivät edes tiedä että Outlookin (tai minkään) voi päivittää. Työntekijät käyttävät sitä konetta mikä heille on eteen laitettu, osaavat kyllä käyttää emailia, officea ja joitain tiettyjä ohjelmia (kurssin käytyään) mutta se, että ohjelmia voisi päivittää on tuiki tuntematon asia. Se tuntuu utopistiselta ajatukselta, mutta näin on. Vaatii jonkin verran kiinnostusta koneisiin ja softiin että osaa niitä päivittää. Jos email on vain työ- ja "hauskojen viestien" lähettämistä varten, ei mikään ihme etteivät ihmiset niitä päivitä. Helpdeskien pitäisi ne päivittää, mutta jos on iso talo, ei ole aikaa eikä maksa vaivaa, muka. Sitten kirotaan kun on niin paljon viruksia ja sitten sitä työtä vasta onkin kun asentelee virustorjuntaohjelmia 500 koneeseen yötämyöten.
Memes don't exist. Tell your friends.
lokori Re: Njaa
lokori, 5.12.2001 10:19:39		 Pisteet: +1
No mitenhän on. Monet eivät edes tiedä että Outlookin (tai minkään) voi päivittää. Työntekijät käyttävät sitä konetta mikä heille on eteen laitettu, osaavat kyllä käyttää emailia, officea ja joitain tiettyjä ohjelmia (kurssin käytyään) mutta se, että ohjelmia voisi päivittää on tuiki tuntematon asia. Se tuntuu utopistiselta ajatukselta, mutta näin on.
No eipä tuo uutinen ole. Kuka normaali ihminen, joka käyttää konetta ihan vaan työn apuvälineenä - esim. joku muusikko tai graafikko - haluaa tietää mitään sen sisuksista tai uhrata aikaansa johonkin päivittelyyn? Miksi edes pitäisi?

elpdeskien pitäisi ne päivittää, mutta jos on iso talo, ei ole aikaa eikä maksa vaivaa, muka. Sitten kirotaan kun on niin paljon viruksia ja sitten sitä työtä vasta onkin kun asentelee virustorjuntaohjelmia 500 koneeseen yötämyöten.
Kannattanee valita järjestelmät ja organisoida asiat 500 ihmisten talossa niin ettei päivittäminen muodostu ongelmaksi...
Ei se helppoa ole, mutta siitä ylläpidolle maksetaan. Se on sangen valitettava tilanne jos firman johto ei näe tarpeelliseksi palkata osaavaa ja riittävää ylläpitohenkilökuntaa.
explo Re: Njaa
explo, 5.12.2001 15:03:03		 Pisteet: +1

No eipä tuo uutinen ole. Kuka normaali ihminen, joka käyttää konetta ihan vaan työn apuvälineenä - esim. joku muusikko tai graafikko - haluaa tietää mitään sen sisuksista tai uhrata aikaansa johonkin päivittelyyn? Miksi edes pitäisi?
Toisaalta vaikea kyllä ymmärtää niitäkin ihmisiä jotka ovat juuri tuollaisia normaalinormaaleita ja eivät halua säästyä ongelmilta sitten kokonaan vaikkapa palkkaamalla jotain ulkopuolista henkilöä hoitamaan säätämisestä ja päivityksistä aiheutuvan virtuaalisen käsienlikaantumisen ja vaivan, vrt. näiden vastineiden tapa viedä kiltisti autonsa säännöllisesti huoltamolle vaikkei se olisikaan juuri törmännyt päin pylvästä.

(Minusta sinänsä kyllä sellainen työntekijä joka ei halua tuntea työvälinettään on tekemästään työstä riippumatta perverssi, mutta se nyt on toki vain oma mielipiteeni ;) En siis tarkoita tuntemuksella totaalista nippelitietoutta, vaan ns. perusasioita jotka auttavat ymmärtämään paremmin välineen rajoituksia ja mahdollisuuksia sekä välttymään ainakin osalta ongelmia.)
lokori Re: Njaa
lokori, 7.12.2001 11:02:33		 Pisteet: 0
Toisaalta vaikea kyllä ymmärtää niitäkin ihmisiä jotka ovat juuri tuollaisia normaalinormaaleita ja eivät halua säästyä ongelmilta sitten kokonaan vaikkapa palkkaamalla jotain ulkopuolista henkilöä hoitamaan säätämisestä ja päivityksistä aiheutuvan virtuaalisen käsienlikaantumisen ja vaivan, vrt. näiden vastineiden tapa viedä kiltisti autonsa säännöllisesti huoltamolle vaikkei se olisikaan juuri törmännyt päin pylvästä.
Niinpä. Maksaa vaan aika paljon tuollainen "ylläpito" ja "säätäminen" tavan ihmisen näkökulmasta. Pitäs saada joku tapa jolla käyttöjärjestelmä ja ohjelmat osaisivat päivittää itseään verkon yli tarvittaessa ja instata security patchit oma-aloitteisesti. Microfrost update ei taida ihan pelittää niinkuin olisi hyvä.

Ei ole mahdoton ajatus, mutta vaatii vähän erilaista näkökulmaa ohjelman suunnitteluvaiheessa. Olen itse päässyt kurkistamaan yhden softan konepellin alle joka oli rakennettu alusta alkaen "itsepäivittyväksi". Bootstrap loader kävi verkon yli kurkistamassa pitääkö softan osia päivittää ja haki uudet jar tiedostot tarvittaessa. Tietokannan muutokset ja muut rewritet piilotettiin ja hoidettiin fiksuilla java -interfaceilla joita ei muutettu, joten uudet ja vanhat versiot toimivat hyvin ristiin. Ei hirveästi mua haittais jos muutkin ohjelmat osais korjata itsestään bugit ilman että mun tarttee hakea päivityspaketit ja pitää silmällä niiden ilmestymistä johonkin palvelimelle.

Olis muuten hauska tietää voiko tollasta itsepäivittyvää kikkaretta tehdä mitenkään fiksusti jollain muulla kuin javalla?

(Minusta sinänsä kyllä sellainen työntekijä joka ei halua tuntea työvälinettään on tekemästään työstä riippumatta perverssi, mutta se nyt on toki vain oma mielipiteeni ;) En siis tarkoita tuntemuksella totaalista nippelitietoutta, vaan ns. perusasioita jotka auttavat ymmärtämään paremmin välineen rajoituksia ja mahdollisuuksia sekä välttymään ainakin osalta ongelmia.)
Ohjelmien päivittäminen ja security patchit on jo sillä rajalla, että onko ne nippelitietoa.
Pineapple Re: Njaa
Pineapple, 5.12.2001 01:03:24		 Pisteet: 0
No mitenhän on. Monet eivät edes tiedä että Outlookin (tai minkään) voi päivittää. Työntekijät käyttävät sitä konetta mikä heille on eteen laitettu, osaavat kyllä käyttää emailia, officea ja joitain tiettyjä ohjelmia (kurssin käytyään) mutta se, että ohjelmia voisi päivittää on tuiki tuntematon asia. Se tuntuu utopistiselta ajatukselta, mutta näin on. Vaatii jonkin verran kiinnostusta koneisiin ja softiin että osaa niitä päivittää. Jos email on vain työ- ja "hauskojen viestien" lähettämistä varten, ei mikään ihme etteivät ihmiset niitä päivitä. Helpdeskien pitäisi ne päivittää, mutta jos on iso talo, ei ole aikaa eikä maksa vaivaa, muka. Sitten kirotaan kun on niin paljon viruksia ja sitten sitä työtä vasta onkin kun asentelee virustorjuntaohjelmia 500 koneeseen yötämyöten.
Windowsissa on käsittääkseni ollut win2ksta asti remote-administraatio, ja installointi onnistuu työasemille yhdeltä koneelta. Tällä systeemillä työpaikallani ainakin f-prot asentui aivan kiltisti. Samalla systeemillä pystyy käsittääkseni myös päivittelemään (en ole tosin käytännössä testannut tai nähnyt toiminnassa)
Pineapple
äölk Re: Njaa
äölk, 5.12.2001 00:19:43		 Pisteet: 0
Helpdeskien pitäisi ne päivittää, mutta jos on iso talo, ei ole aikaa eikä maksa vaivaa, muka
Sitä varten on *nix, keskuspalvelimet ja NFS. Päivittyy ohjelmat kaikkialla kertarykäyksellä ja toimii kuin se kuuluisa junan vessa. Ainakin niin kauan kunnes NFS-palvelin tai jokin verkkolaite paukahtaa, jonka jälkeen ei toimi enää yhtikäs mikään :-). (Onneksi se on kovin harvinaista varmistusten kanssa.)
Jaana Re: Njaa
Jaana, 5.12.2001 00:30:31		 Pisteet: 0
No mitenhän on. Monet eivät edes tiedä että Outlookin (tai minkään) voi päivittää. Työntekijät käyttävät sitä konetta mikä heille on eteen laitettu, osaavat kyllä käyttää emailia, officea ja joitain tiettyjä ohjelmia (kurssin käytyään) mutta se, että ohjelmia voisi päivittää on tuiki tuntematon asia.
No kyllä asiat on aika pahasti vinossa, jos tavan pulliainen pääsee päivittämään käyttöjärjestelmään integroituja kilkkeitä.
kinnunen Turvapäivitykset windows updateen
kinnunen, 5.12.2001 00:30:30		 Pisteet: +1
Ainakin meikäläisen IE:ssä on vielä tuo sektorissakin uutisoitu javascript/cookie reikä täysin avoinna. Asennan kyllä säännöllisesti erilaisia korjauksia Windows Updatesta, mutta tuolle ei ole korjausta näkynyt. Harvoinpä tuolla mitään turvapäivityksiä näkyy, lähinnä tyyliin uudempi IE/Media Player/MSN messenger. Kuvauksissa ainakaan ei puhuta noiden kohdalla mistään turvallisuusaukkojen korjaamisesta. Eipä ole ihme jos ns. peruskäyttäjällä ei ole uusimmat päivitykset ajettuna, kun niitä ei saa EDES windows updatesta (joka sekin on varmasti monille täysin tuntematon palvelu).

Ehkä tuo päivitys löytyy jostain tuhannen linkin takaa (olettaen että finskiversiolle on pätsi jaksettu vääntää), mutta eipä huvita ruveta metsästämään. IE-käyttöni on hyvin vähäistä ja riski on sitäpaitsi henkilökohtainen, eli muita minun päivittämättä jättämiseni ei pitäisi haittata (toisin kuin ISS/Outlook tyyppisten matolaatikoiden kanssa).

Hauska yksityiskohta muuten: Kokeilin microsoftin hotfix-chekeriä (tjsp) jonka pitäisi tarkistaa että kaikki päivitykset on asennettu - eipäs suostunut toimimaan, pitäisi ilmeisesti asentaa jotain niistä microsoftin omista verkkoprotokollista/palveluista jotka otin nimenomaan turvallisuussyistä pois. Siitä huumoria...
Re: Turvapäivitykset windows updateen
Anonyymi kommentoija, 5.12.2001 07:02:21		 Pisteet: 0
Ainakin meikäläisen IE:ssä on vielä tuo sektorissakin uutisoitu javascript/cookie reikä täysin avoinna. Asennan kyllä säännöllisesti erilaisia korjauksia Windows Updatesta, mutta tuolle ei ole korjausta näkynyt. Harvoinpä tuolla mitään turvapäivityksiä näkyy, lähinnä tyyliin uudempi IE/Media Player/MSN messenger. Kuvauksissa ainakaan ei puhuta noiden kohdalla mistään turvallisuusaukkojen korjaamisesta. Eipä ole ihme jos ns. peruskäyttäjällä ei ole uusimmat päivitykset ajettuna, kun niitä ei saa EDES windows updatesta (joka sekin on varmasti monille täysin tuntematon palvelu). Ehkä tuo päivitys löytyy jostain tuhannen linkin takaa (olettaen että finskiversiolle on pätsi jaksettu vääntää), mutta eipä huvita ruveta metsästämään. IE-käyttöni on hyvin vähäistä ja riski on sitäpaitsi henkilökohtainen, eli muita minun päivittämättä jättämiseni ei pitäisi haittata (toisin kuin ISS/Outlook tyyppisten matolaatikoiden kanssa).
Hauska yksityiskohta muuten: Kokeilin microsoftin hotfix-chekeriä (tjsp) jonka pitäisi tarkistaa että kaikki päivitykset on asennettu - eipäs suostunut toimimaan, pitäisi ilmeisesti asentaa jotain niistä microsoftin omista verkkoprotokollista/palveluista jotka otin nimenomaan turvallisuussyistä pois. Siitä huumoria...
Itse olen myös tuskastunut tuohon ylen kätevään windows updateen mistä saa yleensä vain nämä uusi parempi ja kauniimpi IE tai Media Player ja kaikki mikä on hyödyllistä ja tärkeää on piilotettu miljoonan linkin taakse. Itsekkin luulin, että windows update sivuston tarkoitus olisi ollut juuri pitää peruskäyttäjät ajan tasalla myös tietoturvan suhteen, eikä ain uusimpien hömppä pömppä vermeitten.

Jos haluat päivittää sen reikäsen IE:si niin tässä linkki mistä saat tuon patchin ladattua: http://www.microsoft.com/windows/ie/downloads/crit...
zerocool olenko hitaalla?
zerocool, 5.12.2001 10:01:35		 Pisteet: 0
"" Muille ongelmia tuotti se, että asennusohjelmalle piti ilmoittaa Officen asennus-cd:llä olevan data1.msi-tiedoston tarkka sijainti ""
mikäli oikein oon ymmärtänyt, mun outlook tuli winkan mukana, siten ei oo tullut hankittua officea. miksi joku tietoturvapäiväri haluaa käyttää jotain fileä officen cd:ltä? en oikein ymmärrä... Eli, osta office tai et saa päivityksiä ja pätsejä?
Video: no video
Starting playback...
Re: olenko hitaalla?
Anonyymi kommentoija, 5.12.2001 11:54:14		 Pisteet: 0
mikäli oikein oon ymmärtänyt, mun outlook tuli winkan mukana
Outlook Express ja Outlook eivät ole sama asia. Winukan mukanan tulee Outlook Express ja Office paketista saa tuon Outlookin.
Re: olenko hitaalla?
Anonyymi kommentoija, 5.12.2001 12:41:40		 Pisteet: 0
Niinpä, MSofthan nimeää neekeriversiot softistaan Expresseiksi... Mulle ei ainakaan aukea tuon nimityksen merkitys, mikä joskus aikoinaan hämmensi melkoisesti.
Djadja-P Re: olenko hitaalla?
Djadja-P, 7.12.2001 12:24:30		 Pisteet: 0
"" Muille ongelmia tuotti se, että asennusohjelmalle piti ilmoittaa Officen asennus-cd:llä olevan data1.msi-tiedoston tarkka sijainti "" mikäli oikein oon ymmärtänyt, mun outlook tuli winkan mukana, siten ei oo tullut hankittua officea. miksi joku tietoturvapäiväri haluaa käyttää jotain fileä officen cd:ltä?
Varsinkaan kun se ei sano sitä. Minulla jäi päivitys tekemättä juuri tuon takia: vekotin imuroi 10M paketin, sanoi sitten asentavansa SRx:n ja pyysi SRx:n CD:ta asemaan. Tyhmänä ihmisenä kuvittelin, että minulla ei ole SRx:aa kun kerran juuri olin imuroinut sen asennuspaketin Microsoftilta.

Mutta nostan hattua niille testiin osallistuneille, joilta asennus kaikesta huolimatta onnistui!
--
Ammutaanhan navetassakin!
jii Napakymppi
jii, 5.12.2001 08:45:15		 Pisteet: 0

Voi jessus, täähän osui kuin nappi silmään.

Juuri eilen yritin moista fixiä asennella ja se tosiaan tarvii jonkun .msi - tiedoston joka on täysin naurettavaa! Tietenkään ei ollut CD:tä lähistöllä joten jäi sekin korjaus päivittämättä..

Tää saa mut melkeen raivon partaalle, MIKSEI, oi MIKSEI, rakas mikrosoftimme voisi vain tuottaa jonkun näpsäkän EXE:n joka osaisi korjata tietoturva-aukot?! Liikaa vaadittu?

Ärsytys kasvaa..
Datamike Windows Update
Datamike, 5.12.2001 10:48:20		 Pisteet: +1
Mun mielestäni Microsoft on tässä asiassa onnistunut toisaalla ja epäonnistunut, vähintäänkin yhtä paljon, toisaalla. Testasin tossa tota Detection Engine:ä ja tuntui pelittävän ihan mallikkaasti. Ja vaikka se olikin, Internet ympäristösiksi, melko kehittynyt ja yksinkertainen ja tehokas, voi se silti olla hiukan vaikeaa monille ihmisille.

Microsoft:n suurin ongelma on, mielestäni, juuri se että niiden sivut on a) HUGE b) laittoman monimutkaiset c) elämääkin teknisemmät. Ellet ole vähintäänkin jonkin sortin insinööri tai asiantuntija niin turha toivo että saisit jotain sieltä selville. Kyllähän siellä on paljon tietoa, mihin olisi ihanaa päästä käsiksi, mutta kun ei sitä haluamaan sieltä löydä ja vaikka löytää niin sitä ei ymmärrä.

Itse annoin periksi Microsoft.com:n surffailun jo aikaa sitten. Se ei yksinkertaisesti ole vaivan arvoinen.
"Given enough eyeballs, all bugs are shallow."