Nowa luka 0-day we wszystkich wersjach Windowsa

23-05-2013, 10:20

Pracownik Google'a kolejny raz podniósł ciśnienie inżynierom Microsoftu, ujawniając przesadnie dużo szczegółów na temat odkrytej przez siebie luki.

Połowę luk, które gigant z Redmond załatał w kwietniu, stanowiły te znalezione przez specjalistów Google'a. Cóż, bywa i tak, choć pracownicy Microsoftu woleliby na pewno sami odkrywać dziury niż dowiadywać się o nich od ekspertów innych firm. Tavis Ormandy nadepnął im jednak na odcisk nie pierwszy raz. To człowiek, po którym nie można się spodziewać, że zachowa w tajemnicy sposób wykorzystania luki, dopóki producent jej nie załata.

Szerokim echem odbiło się zwłaszcza ujawnienie w 2010 roku szczegółów błędu w Centrum pomocy i obsługi technicznej, który zagrażał użytkownikom systemów Windows XP i Windows Server 2003. Stało się to zaledwie pięć dni po przekazaniu informacji o luce Microsoftowi, inżynierowie tej firmy nie mieli więc szans na zbadanie błędu i przygotowanie poprawki. Takie posunięcie spotkało się zresztą z ostrą krytyką specjalistów ds. bezpieczeństwa, również tych niezwiązanych z Microsoftem.

Efekt? Z lekkim opóźnieniem luka została załatana, a gigant z Redmond zapowiedział odejście od koncepcji Responsible Disclosure (odpowiedzialnego ujawniania), która polega na powiadomieniu producenta o znalezionym błędzie i zaczekaniu, aż ten przygotuje poprawkę, co w wielu przypadkach mocno się przeciąga. Nowej strategii nadano nazwę Coordinated Vulnerability Disclosure - zakłada ona możliwość upublicznienia informacji o luce w przypadku aktywnego jej wykorzystywania przez twórców złośliwych kodów.

Nowe odkrycie Tavisa Ormandy'ego

Sonda
Czy odkrywca luki powinien czekać z jej ujawnieniem, dopóki producent nie przygotuje poprawki?
  • Tak, w każdym przypadku
  • Nie, jeśli luka jest już aktywnie wykorzystywana
  • Nie, może o niej poinformować, kiedy chce
wyniki  komentarze

Szczegółowe informacje o luce 0-day, która zagraża użytkownikom prawdopodobnie wszystkich wersji Windowsa, pojawiły się w tym tygodniu na liście Full Disclosure. Odkryta przez Ormandy'ego usterka pozwala procesowi działającemu z uprawnieniami zwykłego użytkownika zwiększyć je do poziomu systemowego, aby wykonać dowolny kod.

Przyczyną problemu jest błąd projektowy w podsystemie GDI (ang. Graphics Device Interface), komponencie systemu Windows odpowiedzialnym za odwzorowywanie grafiki na urządzeniach wyjściowych, takich jak monitory czy drukarki. Luka występuje w obsłudze tzw. ścieżek (ang. Paths), więcej szczegółów technicznych można znaleźć w niedawno uruchomionym serwisie BAD[SECTOR].PL oraz - co dość oczywiste - na blogu samego odkrywcy błędu.

Kiedy można spodziewać się poprawki, nie wiadomo. Do czasu jej wydania eksperci zalecają unikać uruchamiania programów niewiadomego pochodzenia, pobierania kodeków wideo z niewiarygodnych źródeł i korzystania z wtyczek do przeglądarek, które mogą zawierać usterki bezpieczeństwa.

Zobacz także: Wielkie łatanie Internet Explorera i kilka aktualizacji istotnych dla przedsiębiorców


Źródło: DI24.pl, BAD[SECTOR].PL
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Październik 2019»
PoWtŚrCzwPtSbNd
 123456
78910111213
14151617181920
21222324252627
28293031