|
||
|
Perjantai, 28.6.2002 Windows Media Playerissa vakava tietoturva-aukkoAustralialainen tietoturvayritys itSecure kehottaa kaikkia Windowsin käyttäjiä päivittämään Windows Media Player -ohjelmiston välittömästi Microsoftin keskiviikkona julkaisemalla korjauspäivityksellä. ItSecuren mukaan kyseessä on erittäin vakava tietoturva-aukko, joka mahdollistaa (jälleen kerran) haitallisen koodin suorittamisen uhrin koneella. Tuore päivitys korjaa Windows Media Playerista myös kaksi vähemmän vaarallista tietoturvareikää.
|
|
|
Copyright © 1998-2007 - Coredump Oy. ISSN 1458-476X. |
||
Anonyymi kommentoija, 28.6.2002 08:41:38
Anonyymi kommentoija, 28.6.2002 08:57:46
Sinänsä tuon tietoturva-aukon löytäjä on toiminut esimerkillisesti ilmoittaessaan ensiksi mikrosoftille ja vasta kun vikaan on paikka, on asiasta ilmoitettu keskustelufoorumeihin ja muihin mukaviin paikkoihin jotka ovat naurettavan hyviä paikkoja hakea kunnon exploitit kohdekonetta varten. Esimerkkinä pari viikkoa sitten eräs tutkimuslaitos pyysi murtamaan järjestelmänsä rootin salasanan ( rootin salasana oli /etc/shadow tiedostossa vaihtunut erään lumipalloefektin seurauksena *LK* muotoon.). Bugtrack etc. listoja 15 min kahlaamalla aivan tuntemattoman käyttiksen/rautakonfiguraation sai murrettua 5 rivin scriptillä.
Millä tällaiset tietoturva-aukot voitaisiin muuten tiedottaa kaikelle kansalle? 1% tietoturvattoman koneen käyttävästä väestöstä lukee, saatika tekee näille tietoturva-aukoille mitään.
Anonyymi kommentoija, 28.6.2002 09:10:45
Anonyymi kommentoija, 28.6.2002 09:42:53
btw. viime viikon torstaina tein 25 megan pakettipäivityksen red-carpetilla tälle koneelle ja tänä perjantaina tuli distron bugifixejä taas saman verran. Jos tässä ei olisi verkkoa käytössä niin ei noita modeemilla rupeis imuttelemaan. Periaatteessa autoupdate ja internetyhteys on tässäkin pakollisia ja en käytä Microsoftin tuotteita.
Pineapple, 28.6.2002 13:21:19
Jopas elät itse satumaassa jos et näe mitään eroa yhtiön kehittämässä softassa ja vapaaehtoisten kehittämässä. Ei tarvitse montaa viikkoa olla softa-alalla töissä kun huomaa että Risto Rivikooderi ei ole se joka päättää milloin julkaistaan, mitä koodataan ja mitä siitä ilmoitetaan julkisuuteen - Olli Opensource sen saa päättää itse, onhan se hänen softansa. Kaksi viikkoa menee isossa firmassa HELPOSTI kun pomot pähkäilevät, pitävät palaverejä ja koittavat saada budjettia hyväksyttyä. Ja nämä ovat businessmaailman realiteettejä joita ei voida kiertää. Jonkun on pakko pitää ohjista kiinni, eikä koodari SAA tehdä mitä haluaa.
rugueux, 28.6.2002 13:59:55
Tosin onhan se totta, että mitä suurempi yritys, niin sitä verkkaisemmin asiat kulkevat. Olen useamman kerran tapellut ison yrityksen (ei Microsoft) kanssa, koska heittävät tarjolle todella bugista sovellusta ja me joudumme olemaan testaajia. Yleisemmin vastaukset ovat aika pitkälti samanlaiset, kuin Microsoftilla "Ei kiinnosta". Vaikka talossa olisi resursseja testata ja tehdä todella laadukasta sovellusta, niin valitaan riman alittaminen mahdollisimman monessa kohtaa. Syitä tähän voi lähteä etsimään monestakin paikkaa, mutta kuitenkin maksetusta tuotteesta odottaa asiakaspalvelua ja bugikorjauksia.
> Kaksi viikkoa menee isossa firmassa HELPOSTI kun pomot pähkäilevät, pitävät palaverejä ja koittavat saada budjettia hyväksyttyä. Ja nämä ovat businessmaailman realiteettejä joita ei voida kiertää. Jonkun on pakko pitää ohjista kiinni, eikä koodari SAA tehdä mitä haluaa.
Onneksi ei tarvitse toimia moisessa yrityksessä. Kyllä täällä on softanvääntäjiä, niillä esimiehet ja esimiehillä yhteydet ylöspäin. Kun tulee tieto ongelmasta softaan liittyen, niin siihen ruvetaan pikaisesti vääntämään korjausta, joka siirtyy esimiehen kautta hyvinkin nopeasti yleiseen levitykseen. Ei siihen tarvita pääjohtajaa ja yhtiökokousta, korkeintaan tuotepäällikkö. Huonosti organisoitu yritys, jos kaikki päätökset kulkevat johtokunnan kautta.
Ja tämä uutisessa mainittu bugi on Microsoftin tuotteessa, kassassa on tolkuttomat 42 miljardia dollaria, joten ei sen luulisi työvoimapulasta ja budjettikiistasta olevan kiinni.
Mihin on kadonnut perinteinen harakointi?
setae, 28.6.2002 09:39:34
2 viikkoa on mielestäni sellainen sopiva aika, joka aukon paikkaamiseen annetaan; tämähän ei tarkoita, että se koko 2vk pitäisi käyttää, vaan että tämä olisi se maksimiaika. Korjauksen testaaminen kaikilla tuetuilla alustoilla on aikaa vaativa operaatio - pahempaa saattaa projektin vetäjät vain kuvitella, kuin tietyllä alustalla ja konfiguraatiolla oleva kone, jossa luvattu paikkaus ei toimikkaan.
Anonyymi kommentoija, 28.6.2002 08:54:35
Mikäs sulkee sen pois etteikö microsoftin omat pojat ole havainneet aukkoa ?
Anonyymi kommentoija, 28.6.2002 13:21:50
<clippiti>
Acknowledgments
Microsoft thanks the following people for working with us to protect customers:
jelmer for reporting the Cache Patch Disclosure via Windows Media Player.
The Research Team of Security Internals (www.securityinternals.com) for reporting Privilege Elevation through Windows Media Device Manager Service:
Elias Levy, Chief Technical Officer, SecurityFocus http://www.securityfocus.com/), for reporting the Media Playback Script Invocation.
</clappiti>
Eli ihan tunnettuja nimiä siis. Microsofthan antaa ns. krediittejä niille tahoille, jotka hoitavat aukoista raportoimisen MS:n toivomusten mukaan, eli käytännössä ilmoittavat bugista ensin Microsoftille eivätkä esimerkiksi julkaise exploitteja ennen patchin valmistumista.
-j.
Djadja-P, 28.6.2002 10:25:54
Ammutaanhan navetassakin!
Anonyymi kommentoija, 30.6.2002 13:38:49
Miten kauan te vielä siedätte m$ yhä kaaottisemmaksi ja sanelevammaksi muuttuvaa "tukipolitiikkaa"? Onko teistä oikein että te myönnätte kaupalliselle yhtiölle luvan käyttää teidän omaa tietokonetta miten se haluaa ja antaa sille luvan kerätä teistä tietoja kolmannen osapuolen markkinointia varten ja olla totaalisen riippuvainen kyseisen yhtiön kulloisestakin "IT-toimintamallista" Eli mikäli m$ haluaa asentaa jotakin teidän koneelle jotain sen ei tarvitse ilmoittaa/kysyä siitä mitään. Windows käyttäjät ovat täysin vailla oikeusturvaa jos jokin päivitys kaataa koneen /korruptoi tiedostoja ja koneella olevat työt menetetään. m$ ei ole juridisesti tästä missään vastuussa.
Haluavatko ihmiset maksaa windowsista sen vuoksi että he voivat alistua täysin yksipuoliseen sanelupoltiikkaan "tietoturvan" ja "käyttäjäystävällisyyden" nimissä?
nimimerkki: Bill Gates ei enää hallitse minun tietokonettani.
Anonyymi kommentoija, 1.7.2002 08:35:50
Keskivertokäyttäjä käyttää konettaan varmaan suurimmaksi osaksi www-selailuun, sähköpostin lukemiseen ja ehkä tekstinkäsittelyyn. Oletetaan, että tietoturva pettää. Joku saattaa päästä lukemaan käyttäjän sähköpostin, mitä sitten? Harvoin siellä kuitenkaan on mitään kovin salaista, ja ei kukaan niitä mailejaan kuitenkaan salaa, joten tietoturva on aina postikortin tasoa. Joku mainosohjelma tai aina ilkeä Microsoft saattaa kerätä markkinointitietoja, entäs sitten? Ei voisi jotain keskivertokäyttäjää jälleen vähempää kiinnostaa, kunhan vaan sähköposti toimii ja ohjelmat toimii. Ehkä pahin tapaus voisi olla, että ilkeä hakkeri tunkeutuu koneelle ja tuhoaa sieltä tiedostoja, mutta eipä taida näitä hakkereita normaalien ihmisten windowsien tiedostojen tuhoaminen juuri kiinnostaa. Hyvin moni normaali käyttäjä ei jaksa intoilla näistä tietoturvista, se kun on aikaa vievää, ja on parempaakin tekemistä. Ja tietoturvan pettäminen kotikoneella on harvoin kovin vakava juttu.
En pyri vähättelemään tietoturvan merkitystä, usein tietoturva on todella tärkeää. Mutta väitän, että hyvin moni keskivertokäyttäjä ottaisi paljon mieluummin helppokäyttöisen ei-turvallisen järjestelmän, kuin vaikeakäyttöisen turvallisen järjestelmän.
Mitä sitten taas Windowsiin tulee, niin ne jotka haluavat käyttää Windowsia turvallisesti pystyvät kyllä tarvittaessa konfiguroimaan järjestelmän sellaiseksi, että se ei ole yhtään turvattomampi kuin mikään muukaan järjestelmä kuten Linux. Ihanne tietysti olisi, että kaikki organisaatiot jotka näitä järjestelmiä luovat tekisivät niistä 100% turvalisia, mutta tämä ei ikinä ole käytännössä mahdollista. Ja sen vuoksi pitää miettiä mikä on tietoturvaan panostetun ajan ja vaivan suhde tietoturvan pettämisestä johtuviin ongelmiin.
Anonyymi kommentoija, 5.7.2002 17:20:08
En pyri vähättelemään tietoturvan merkitystä, usein tietoturva on todella tärkeää. Mutta väitän, että hyvin moni keskivertokäyttäjä ottaisi paljon mieluummin helppokäyttöisen ei-turvallisen järjestelmän, kuin vaikeakäyttöisen turvallisen järjestelmän.
Anonyymi kommentoija, 5.7.2002 19:11:44
selaimena loistava Galeon
(löytyy tab eli sheet -toiminto, joka on nyttemmin NC7:ssa)
Evolution / Pan e-mail/news-clienttinä
Teksitnkäsittelyyn LYX ja jos nyt haluaa, niin OpenOffice myös.
Tulostuksessa ja sähköisissä dokumenteissa saa siirtyä kompaktiin pdf (ps) maailmaan.
OIen kolmatta vuotta käyttänyt kotona Linuxia, enkä näe mitään syytä siirtyä M$:n tuotteisiin. mm. isdn-yhteys toimii paljon paremmin (lue: avautuu) kuin NT:ssä. Ainoa, jota on ollut ikävä, on Windowsin loistavasti toiva leikepöytä. En ymmärrä, miksi käyttöjärjestelmästä pitää maksaa, kun ilmaiseksi saa helposti asennettavan ja varmatoimisen paketin.
Anonyymi kommentoija, 1.7.2002 15:22:20
Tietty siihen piti joku bugi saada lisättyä, kun yksi sentään poistettiin. Eikä tota saatanan päivitystä saa edes pois.
Anonyymi kommentoija, 1.7.2002 16:28:41
Anonyymi kommentoija, 2.7.2002 03:39:29
"You agree that in order to protect the integrity of content and software protected by digital rights management ('Secure Content'), Microsoft may provide security related updates to the OS Components that will be automatically downloaded onto your computer. These security related updates may disable your ability to copy and/or play Secure Content and use other software on your computer. If we provide such a security update, we will use reasonable efforts to post notices on a web site explaining the update."
Ja koko stoori täältä: http://www.theregister.co.uk/content/4/25956.html
Kaikkein mukavinta koko jutussa on se että tämä kyseenalainen securitypatchi ei ole uninstalloitavissa, jahka sitä kohta siirtyisi linukkaan..
ressu, 28.6.2002 14:56:08
Tuo microsoftin toiminta ei ole enää pitkään aikaan jaksanut vakuuttaa ainakaan minua tietoturvan osalta.
onhan ihan ymmärrettävää että ongelmia on, ja tietoturva aukot ovat kaikissa ohjelmissa jokapäiväistä asiaa, microsoft kun oletettavasti uudelleekäyttää samoja komponentteja, miksi samat ongelmat pitää korjata jokaisessa ohjelmassa erikseen? eikö huomattavasti parempi ratkaisu olisi korjata se jaettu komponentti?
äääh.. sellaista se on elämä...
Krijoitusvihreeni ovat kpiosujattuja.
Rihkama, 28.6.2002 18:44:33
Itsellänikään ei ole WMP7:ää (joka IMHO on hidas ja buginen) asennettuna vaan sen vanhempi versio 6.4 (joka on ainakin minusta yksi Microsoftin parhaiten toimiva ohjelma).
ressu, 4.7.2002 09:50:49
Krijoitusvihreeni ovat kpiosujattuja.
setae, 30.6.2002 01:15:19
http://bsdvault.net/article.php?sid=527&mode=&...
Anonyymi kommentoija, 30.6.2002 01:45:53
On se kivaa, että microsoft saa jatkossa asentaa koneelleni mitä haluaa, kunhan internet-yhteys on auki, niinkuin se yleensä on. Modeemikäyttäjät varmasti rakastavat tätä ominaisuutta. Onneksi minulla on 100 Mbps.
Vielä kivempaa on se, että tietokoneellani olevien tiedostojen käyttö estetään, jos se ei microsoftille sovi. Kyllä maailma menee paljon pahempaan suuntaan, jos tietokone ei enää soita kuin DRM-suojattuja WMA-tiedostoja ja mp3-lakkaa tyystin toimimasta. Ehkä ohjelma tarjoaa konversion, jos tarpeeksi maksan microsoftille. Onhan WMA:ssa paljon parempi äänenlaatu.
No onneksi tämä ei tapahdu ihan minun huomaamattani, jonnekin microsoftin webbisivuille ilmestyy uutisia asiasta, kunhan ne "kohtuullisella vaivalla" sinne saadaan.
No onneksi tämä päivitys estää ihmisiä ajamasta omaa koodiaan minun koneellani. Enhän haluisi, että siellä tapahtuu jotain minun huomaamattamani.
Umbala, 28.6.2002 09:10:34
Ihan sama IE6 ja XP:n kanssa, kun voi ajaa minkä tahansa ohjelman käyttäjän koneelta lupaa kysymättä - ja yllättäen vain IE:ssä. Media Playerin yhteydenotot Microsoftiin DVD-elokuvia katseltaessa -- eihän siinä mitään henk. koht. tietoa ole, mutta ottaa se kuitenkin yhteyden ja lähettää tietoa. Media Playerin global cookiet tietokoneelle. IE:n lukuisat muut tietoturva-aukot, IIS:n takaportit... tätä listaa voisi jatkaa vaikka kuinka. Vähitellen alan uskomaan että viat olisivat tahallaan sinne laitettu. Miksi? Koska nyt on kyseessä Microsoft. Ja on kyseessä Amerikka. Ja mitä yhteistä molemmilla on kiinnostuksissaan? Valta ja raha.
"One day we all will be living under the iron fist of Emmental Evil."
Anonyymi kommentoija, 28.6.2002 11:34:48
Näitä on vain nyt alkanut kasaantumaan, koska kaikki ovat kiinnittäneet huomionsa niihin ja softat joutuneet erityisen tarkastelun sekä puukottamisen kohteeksi.
Jätetään tuo salaliittojen keksiminen niistä pitäville eli jenkeille ja pysytään todellisuudessa.
$kormus->reality_chek(int 0);
heko, 28.6.2002 12:35:18
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
Anonyymi kommentoija, 28.6.2002 16:16:30
Mielestäni tämä on todennäköisin syy.
Anonyymi kommentoija, 30.6.2002 20:50:27
Mielestäni tämä on todennäköisin syy.
Yhden koneen ohjaamisessa päin WTC:n tornia oli selvää leffan ainesta, mutta kahta tuskin kukaan käsikirjoittaja ajatteli ennen 11.9. , koska se olisi ollut epäuskottavaa!
Entä jos salaliitto onkin olemassa, emmekä vain suostu uskomaan sitä?