iPon Hírek

Microsoft: hibák korrigálva, egy 17 éveset kivéve

Dátum | 2010. 01. 22.
Szerző | Gabriel
Csoport | IT VILÁG

Ígéretének megfelelően kiadta tegnap a Microsoft az MS10-002-es jelzésű, kritikus fontosságúnak minősített patch-csomagját, összesen nyolc biztonsági rést foltozva be így az Explorereken (5-8), köztük a Google elleni támadás kapcsán elhíresültet is.

Az orvosolt hibák két HTML objektum-memória vonatkozásút, négy inicializálatlan memória-alapút, egy URL-érvényesítésit és egy XSS-szűrő-megkerülőt foglalnak magukba. A közelmúltbeli események fényében a patch alkalmazásának fontosságát nyilván kell magyarázni.

További érdekesség ezen a fronton, hogy a Google egyik mérnöke egy olyan biztonsági rést is felfedezett magában a 32 bites Windows-kernelben, ami bizony már 1993 óta változatlanul ott van, és érint(ett) minden azóta megjelent Windows-t, ide értve még a Win7 32 bites változatát is. A 64-es már szerencsére immunis erre.

Ez a már majdnem nagykorúnak számító (de mindenképp jogosítványérett) hiba a Virtual DOS Machine-ben húzódik meg, és nem kevesebbet tesz lehetővé a sikeres támadó számára, mint tetszés szerinti programfuttatást kernel-üzemmódban, valamint az adatokhoz való hozzáférést és új, teljes jogosultságú felhasználói fiókok létrehozását. Szerencsére a hiba veszélyességét valamelyest mérsékli az a tény, hogy a kiaknázásához a támadónak már rendelkeznie kell egy saját fiókkal a célgépen. Valószínűleg ezért is minősítették a hibát kritikus helyett csupán fontosnak.

Új hozzászólás írásához előbb jelentkezz be!

Eddigi hozzászólások

20. nitro1000
2010.01.22. 15:40
Mi lesz így a picipuhával? Azért már tényleg durva egy ilyen, 17 éves, bug jelenléte. Ilyenkor imádom, hogy 64 bites rendszerem van
 
Válasz írásához előbb jelentkezz be!
19. Phantomstr...
2010.01.22. 15:40
Ennek a javítása a 64 bites verziók erősödésével kezd okafogyottá válni...
 
Válasz írásához előbb jelentkezz be!
18. Sediqwe
2010.01.22. 15:46
"fényében a patch alkalmazásának fontosságát nyilván kell magyarázni."


akkor hajrá! Magyarázzuk
 
Válasz írásához előbb jelentkezz be!
17. adam0205
2010.01.22. 17:05
Phantomstranger: Kinél? Annál a szűk körnél aki nem r=1 -es felhasználó? soan még az elavult XP-ről sem hajlandóak váltani nemhogy 64 bitre, sőt kezdjük ott, hogy sokan a mai napig nem tudják mi a 64 bites OS-nek az előnye.
A másik meg, hogy nyugodtan lehet 64 bit a gépen amikor a programok zöme 32 bites amik maximum 2 GB-ot tudnak használni a RAM-ból. Szóval akinek nincs 4 GB RAM-ja meg gigás VGA-ja annak biztos jót tesz az e-pénisz növeléséhez vezető úton, hogy neki 64 bitje van.
 
Válasz írásához előbb jelentkezz be!
16. axe
2010.01.22. 18:00
adam0205 amikor elkezdtem olvasni a hozzászólásod arra kezdtem következtetni, hogy te legalább nem élsz tévhitben a 64bit-es operációs rendszerrel kapcsolatban. Még mindig nem csak a memória nagyságát jelöli a 64bit. Nagyobb utasításkészlet, stabilabb rendszer, összetettebb stabilabb programok, nagyobb kihasználtság, (és ugye) nagyobb memórialimit, erősebb titkosítás, csak pár dolog az előnyök közül. Sokan pedig azér nem váltanak, mer nem értenek hozzá ugyaanis sokan csak azt tudják hogy myvip-en hogyan kell ismerőst bejelölni és msn-ezni egy vadidegennel akivel soha életében nem találkozott még. Az pedig hogy nem váltanak.... le fognak maradni, jelenleg is simán ki lehet aknázni 8gb ramot ,akkor hozzá jön még 2db 1Gb-os pl HD4890 csak egy példa jó ár/teljesítmény értékü videókártyára ami elfér egy rendszerben 2 darab. Xp-t azér használnak még mindig sokan, mer nagyon sok program csak arra van. Anyukám könyvelő és amik nekik vannak programok csak és kizárólag Xp-n mennek el, ráadásul sok cégnak csak pénzkiesés lenne megvásárolni a vistát vagy a 7-est (nem kell jönni warezzal hogy létezik az is, mer egy ellenőrzés, és a szoftevr többszörösét viszik el büntetésben). De persze van az a réteg is amit pár sorral feljebb írtam. Az emberek majd rájönnek hogy ideje lesz váltani 64bit-re mer ezt diktálja a fejlődés!
 
Válasz írásához előbb jelentkezz be!
15. eff
2010.01.22. 18:38
1x próbáltam meg 64bites rendszert húzni a notimra tavaly tavasszal, aztán a Cisco VPN kliens telepítésekor kellett rájönnöm, hogy még nagyon nincs támogatva. Mondjuk azóta már a windowsról is leszoktam, van egy virtualbox xp-m ha nagyon kell valamihez.
Szóval amíg a programok nagyrésze csak 32bitre íródik, és problémás a 64bitre telepítése/migrálása, addig az egyszeri usereknek úgyis csak a memórialimit lesz a lényeges indok a 64bitre.
 
Válasz írásához előbb jelentkezz be!
14. prohlep
2010.01.22. 19:24
Éljen a 64-bit. ... ... ... Viszlát 32-bit, pápá.

Szerintetek a pici puha nem kepes 64 bites hibat irni, es azt masfel evtizeden keresztul nem javitani?

64 bitnek mellesleg hatranya is van. Probaljal meg merokanallal enni. Megy, de macera. Ezert nem vesztek ki a normal evokanalak a merokanalak megjelenese utan.

8088-on egy 8 byte memoria kiolvasasa 2 oraciklus. A dogosebb 8086-n viszont 3 oraciklus, mert egy plussz ciklus elment arra, hogy a ketszer olyan szeles memoria buszon kimaszkolni a ket bajtbol azt, amelyik nem kell.

Jovo valszeg nem a 64 bit, 128 bit ... vegtelen bit, hanem a bit-stream architektura, amely flexibilisen illeszkedik az adott feladathoz eppen optimalis merokanal nagysaghoz (8 bit, 16 bit, 32 bit, stb.)
 
Válasz írásához előbb jelentkezz be!
13. prohlep
2010.01.22. 19:39
Annak idejen, a 90-es evek elejen, a 32 bitre kepes win3.1-et ugy dicsertek, mint most a 64 bitet, sot talan egy picit jobban. Szikla szilard, stabil, es a programok nem allitjak fejre.

Nem kell fanyalogni: a windows szep lassan fejlodik, evtizedrol evtizedre, es az aktualis uj valtozat mindig elkepzelhetetlenul klassz.

Linux viszont nem fejlodik mar jo ideje. Mert a stabilitasa, testreszabhatosaga es hatekonysaga nem hagy kivanni valot maga utan.

Linux persze szinten igen lassan, de valtozik.

Most peldaul 10 masodpercen belul bootol 2 darab 2 teras wincsivel. Allitolag a Win7 is kepes eleg hamar bebootolni.

Ki tudja, hogy Win7 eseten hany masodperc a bootolast megkezdo futtytol kezdve az az allapot, amikor mar nem csak bejelentkezni lehet, hanem mar tenylegesen all a tuzfal, a virusirto, mukodnek az internetes szolgaltatasok. Mint linuxnal.

Mert azt azert en nem nevezem felbootolt allapotnak, hogy amikor bejelentkezem, akkor kezd el a windows szorakozni az addig meg el nem inditott dolgokkal. Felbootolva akkor van, ha mar nem kell a wincsit intenziven nyuzni, hanem tenyleg felallt a rendszer, rendes kiepitesben.

Nem szeretem, ha bejelentkezes utan van egy atveres idoszak, amikor meg az eger fokusz is elmegy. Peldaul gyorsan rakattintok egy ikonra, es aztan egyszercsak megsincs kijelolve az ikon.
Vagy a gyor duplakattintas egyszeruen elhal, nem lesz belole semmi, ha nem vartam egy kicsit, mig valoban teljesse valik a rendszer.
 
Válasz írásához előbb jelentkezz be!
12. vna
2010.01.23. 00:39
Több órás használatnál valóban kardinális kérdés, hogy mennyi idő alatt boot-ol a gép.
Köszi, de nekem a mostani max. 1 perc teljesen jó.

Amúgy meg: nem teljesen mindegy, hogy hány millió biztonsági rés van egy progiban, ha senki sem tud róla? Ráadásul logikátlan a dolog: mekkora az esélye annak, hogy annak aki 'be akar törni a gépedre' már van felhasználói fiókja? Emellett 2 vagy többfelhasználó egyidejű bejelentkezését csak a win2k óta támogatják a windows-ok, tehát előtte ezért sem lehetett sebezhetőségnek tekinteni.

Ennek a hírnek a lényeges információtartalma igencsak kevés, leginkább félinformációk vannak benne, amelyekhez szokás szerint nincs megnevezve forrás (vagy legalább bővebb ismertető). A forrást egyébként csakúgy illendőségből is jó lenne feltüntetni a híreknél, bár tudom ez kishazánkban nem szokás nehogy csökkenjen az olvasók száma (vagy kiderüljön, hogy rossz a fordítás).

Bocsi, befejeztem, nem akartam senkit b@szogatni.
 
Válasz írásához előbb jelentkezz be!
11. Racer01
2010.01.23. 11:55
Igen, igazat adok az előttem szólóhoz, sokra megy a linuszal az ember, ha magának kell elindítani az össze kisegítő progit. Nem kéne a linuxot összehasonlítani a win7-el, vagy hamár nagyon muszáj akkor Wine-al meg minden funkcióval együtt, amit a win is betölt. Vagy a másik eswt, hogy akkor a minwin-el hasonlítgasd a boot időt. Már nem azért, de kezdem unni ezt a sok linux meg mac hívő szemellenzős embereket..... Előre szólok, nem akartam senkit megbántani....
 
Válasz írásához előbb jelentkezz be!
10. FarLT
2010.01.23. 20:27
Az azért nem annyira megnyugtató hogy csak akkor jön be a trükk ha már amúgy is van felhasználói fiókja a támadónak, mivel rendszergazdaként a legszörnyűbb rémálmom hogy a userek valahogy admin jogokat kapnak
 
Válasz írásához előbb jelentkezz be!
9. prohlep
2010.01.23. 21:45
magának kell elindítani az össze kisegítő progit

???, az elegseges szolgaltas indul magatol, es nem fut minden mindenfele dolog, amely valamelyik kontinensen esetleg valakinek valaha kellhet.

kezdem unni ezt a sok linux meg mac hívő szemellenzős embereket..... Előre szólok, nem akartam senkit megbántani....

Windows-ba zarkozas helyett erdemes volna tajekozodnod a Unix alapu rendszerek felol (linux, mac, ...), es esetleg nyugodt korulmenyek kozott gondosan kiprobalni. Valszeg megvaltozik a velemenyed. VAX VMS-re meg repulo is bizhato (egyes Boing-okba azt telepitettek), mert abban olyan biztonsagi zarak vannak, amelyeket ha egy rendszergazda nem ismer, akkor meg renszergazdakent sem tudod magadra boritani.

1-1,3 GB-ot betölteni rendszerindításkor

Ez bizony folosleges kornyezet terheles, mint sok mas "felhasznaloi elmeny".

tegyél fel egy Windows 7-et

Most karacsonykor ezt szerettem volna csinalni mintegy 44 geppel, mert megkaptuk az iskolaknak jaro tisztaszoftver DVD-ket, rajta Win7 szemelyi rendszer es Win2008 szerver rendszer.

De sokat tapasztalt rendszergazda baratok egybehangzoan lebeszeltek. Elmeseltek a szivasaikat. Tobbszor elofordult tobb napos fennakadas az egyetemen ezen klassz ujdonsagok miatt.

Haztartasi es kozuleti igenyek jelentosen elternek. Ezert fut annyi XP.

Unix alapu rendszerekben 2 evtizede ugyanott talalom a nekem felhasznalokent kello dolgokat. Ezzel ellentetben a felhasznalobarat rendszerek olyanok, mintha fel evtizedenkent felcserelnek a gaz-, fek- es kuplung pedal sorrendjet, jobb esetben, es rosszabb esetben a "felhasznaloi elmeny" fokozasakent a gaz pedalt a csomagtartoban talalod, mert az olyan jo.

Haztartasi korulmenyek kozott ez a folytonos csere-bere elmegy. De egy 525 felhasznalos iskolanal, vagy egy hasonlo meretu egyetemi intezetben mar nem.

miért nem akarnak magyar ékezettel írni

Mert az portabilis. Most az uj, eros gepekre XP-t telepitve, elszornyulkodve latom, hogy a telepites egy hosszu szakaszaban minden ekezetes karakter helyen ket bajtos unicode jelenik meg.

Arab es heber nyelven az az osi default, hogy nem hogy ekezeteket nem irsz, de maganhangzokat sem. Es megis siman elolvashato.

nem teljesen mindegy, hogy hány millió biztonsági rés van egy progiban, ha senki sem tud róla?

A poen az, hogy akik akarnak, azok tudnak rola. Es felhasznalhatjak a modern civilizacio ellen.

Legborzalmasabb biztonsagi res, hogy nem nyilt a forraskod. Azaz nem tudod, hogy mi tortenik valojaban.
 
Válasz írásához előbb jelentkezz be!
8. MixM
2010.01.23. 22:15
De most komolyan.. én még csak kb 10 éve böngészem a világhálót, de még egyszer sem hatolt be senki a gépembe, hogy átvegye az irányítást, vagy programot futtasson rajt Ha végignézem a Win "szükséges" frissítéseit, már lassan nagyobb terjedelmű, mint maga az operációs rendszer Hajrá Microsoft!
 
Válasz írásához előbb jelentkezz be!
7. junkie
2010.01.24. 09:49
A Linux rendszerek csupán azért "biztonságos", mert annyira kevesen használják, hogy a szenzációhajhász és feltűnési viszketegségben szenvedő vírusírók számára nem képeznek célközönséget. Ha Linuxot használna a világ 90%-a, és Windows-t 5%, akkor a Linux lenne a szar / ördög / nem biztonságos.

Az meg hogy a Windows nem nyílt forráskódú, hát egyrészről áldás, másrészről átok. Áldás, mert sokkal nehezebb benne hibákat / biztonsági rést találni, mint ha nyílt forráskódú lenne, és átok, mert lehetnek benne rejtett dolgok, ami vagy jó vagy nem. A Windows rendszerek pontosan addig biztonságosak, amíg a hekkertársadalom extenzív reverse engeneering tevékenysége el nem éri azt a szintet, amikor turkál az oprendszer fájlok között, mintha nyílt forrású lenne. Az XP is biztonságos volt egy darabig, sőt, legbiztonságosabb is volt.

A Windows-ok legfontosabb biztonsági mentsvára pont a ködös felépítés és titkos forráskód.
A Linuxé és MacOS-é a nemhasználtság. Aki programfejlesztéssel foglalkozik, az pontosan tudja, hogy tökéletes kód _nincs_, és ha valamit fel akarnak törni, akkor előbb-utóbb _fel fogják törni_. Legyen az Microsoft kód, nyilvános közösségi kód, vagy bármi. Minden csak attól függ, hogy mennyit foglalkoznak vele. Aki azt hiszi, hogy a Microsoft-nál félkegyelmű fejlesztők dolgoznak, az hatalmasat téved...
 
Válasz írásához előbb jelentkezz be!
6. junkie
2010.01.24. 09:54
Egyébként én az RC óta használom a Windows 7-et, soha semmi baj nem volt vele, cégnél is a legtöbb gépen már az van, egyszer nem volt még fennakadás. Viszont rendszeresen látok olyan hozzánemértő lámákat, akik mérgükben püfölik a billentyűzetet meg szidják "a vindózt" hogy mekkora egy szar, ilyenkor odamegyek és egy kattintással megoldom a problémájukat, és akkor jön a "jaaj nemigaz hogy nem vettem észre, mekkora hülye vagyok, köszi!" típusú megalázkodás...
 
Válasz írásához előbb jelentkezz be!
5. prohlep
2010.01.24. 19:47
A Windows rendszerek pontosan addig biztonságosak, amíg a hekkertársadalom extenzív reverse engeneering tevékenysége el nem éri azt a szintet, amikor turkál az oprendszer fájlok között, mintha nyílt forrású lenne.

Ez nagy valoszinuseggel gyorsan megtortenik.

Vagy barki is komolyan gondolja, hogy az informatika korszakaban barmelyik anyagilag erosebb katonai tomb megengedi maganak azt a luxust, pontosabban katonai felelotlenseget, hogy ne legyen egy reverse engeneering alegysege?

Ezert szakmailag nem tarjak komoly vedelemnek azt, amely a forraskod zartsagara is tamaszkodik.

Ezert van, hogy jo ideje csak a nyilvanos kulcsu titkositasokat tekintik jobbnak, mert ott nincsen beavatott muszaki garda, amely tudja a titkot. Tehat nincs is, akibol kiverheto lenne a muszaki titok.

Muszaki (jelszo, kulcs titkos resze) titkot csak a tartalmi (gazdasagi, katonai, stb adat) titok tuljadonosa oriz. Az mar szinte mindegy, hogy obelole eloszor "csak" a muszaki titkot verik ki, zsaroljak ki, vagy rogton a tartalmi titkot. Ezert a nyilvanos kulcsu titkositast az elvben lehetseges legtitkosabb megoldasnak tekintik.

Az mar egy mas tema, hogy mi van akkor, ha egy fontos titokgazda gyermeket elraboljak. Az mar nem muszaki kerdes. Ott a nyilvanos kulcs sem segit.

Visszaterve: csaloka biztonsag, amely a forras zartsagara is alapoz.

Mellesleg a hitelesitett alairasoknal alairatnak veled olyat, hogy pontosan ismered, hogy mi tortenik (a zart forraskod ellenere!!!), ja es mindezt kizarolag windows, azon belul is windows levelezo, es azon belul is titkositatlan csatornan. Mikozben felesegemmel jatszottak a nagy hitelesitesi szertartast, ket szemtanu szemelyi igazolvannyal, hogy a felesegem tenyleg az, akinek kiadja magat, ... akozben a suli tuzfal-linux szerveren lattuk a titkos informaciokat. Na ennyit errol a hiteles alairasokrol, smart kartya olvaso a billentyuzetben, meg fontoskodas orrverzesig.

Peresze akik igy bohockodtak szep penzert, leritt roluk, hogy meg az eletben nem hasznaltak, nem lattak linuxot. De a lenyeg, hogy be vannak jegyeztetve, fel vannak hatalmazva, es amit csinalnak, az hiteles, es birosag elott bizonyito ero.

Csak hat a linux tuzfal szerverunkon akkor es ugy alakitjuk at ezeket a hitelesen alairt dolgokat, ahogy nem restelljuk.

Windows egyik legnagyobb baja, hogy emberek tomegeit batoritja fol olyan szamitogep hasznalatra, amely nem biztonsagos, nem hiteles, es kozben pedig abban a mely hitben ringatja oket, hogy nagyon jo eszkozoket hasznalnak.

Info-szakokon is ijeszto a tendencia. Nem a legjobbakra gondolok. Hanem a nagy atlagra. Akik mind mind kapnak diplomat.

Fizikus es matematikus szakokon, amelyek hagyomanyosan elit szakok a szantech szemszogebol, szoval ezeken a szakokon is romlas tapasztalhato.

Eppen e romlas miatt keszulok osz ota a most februarban kezdodo Info4 kurzusomra. Mert a tavalyi elmenyem (akkor volt eloszor az uj, bolognai BSc rendszerben) brutalis volt.

Mindezek mogott sajnos ki kell mondani, a windows-alapu gyermekkor van.

Mennel regebbre megyunk vissza, annal kevesebb windows-t kapott a fiatal generacio, es valoban, annal kevesebb gond volt az informatika nevelesukkel az egyetemen.
 
Válasz írásához előbb jelentkezz be!
4. Azrael
2010.01.24. 20:59
Annyira kevesen használják a Linux rendszereket, hogy nem éri őket feltörni? Hát nem éppen, az interneten található webszerveren túlnyomó többsége valamilyen Linux rendszert futtat, sőt a világ nagy szuperszámítógépeinek többségén is Linux rendszerek futnak.
 
Válasz írásához előbb jelentkezz be!
3. flameKing
2010.01.25. 20:41
Én most vettem át a rendszerem felett a hatalmat. S tetszőleges programkódot tudok futtatni!
 
Válasz írásához előbb jelentkezz be!
2. Yoda
2010.01.26. 13:16
Sziasztok!

Elvesztek a részletekben. Ha figyelmesen olvassátok akkor azt írja, hogy a Google egyik mérnöke fedezte fel a hibát. Erre a kérdésem az lenne, hogy a Google miért keres hibákat a MS szoftvereiben?
 
Válasz írásához előbb jelentkezz be!
1. richi105
2010.01.27. 17:27
17 éve benne van már olyan régi a hiba, hogy a hackerek már el is felejtették, hogy benne van.
De most tényleg jövő héten meg jön egy 10 éves biztonsági rés utána egy 5 éves és még kitudja.
A Windows biztonsági frissítések már lassan nagyobbak mint maga az alap Windows telepítés.
Ezek után jöhetnek nekem a zárt forráskódú rendszerek biztonságáról meg, miért is fizetünk olyan sokat ilyen support -ért ?
 
Válasz írásához előbb jelentkezz be!