Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Pracownik Google'a kolejny raz podniósł ciśnienie inżynierom Microsoftu, ujawniając przesadnie dużo szczegółów na temat odkrytej przez siebie luki.

Połowę luk, które gigant z Redmond załatał w kwietniu, stanowiły te znalezione przez specjalistów Google'a. Cóż, bywa i tak, choć pracownicy Microsoftu woleliby na pewno sami odkrywać dziury niż dowiadywać się o nich od ekspertów innych firm. Tavis Ormandy nadepnął im jednak na odcisk nie pierwszy raz. To człowiek, po którym nie można się spodziewać, że zachowa w tajemnicy sposób wykorzystania luki, dopóki producent jej nie załata.

Szerokim echem odbiło się zwłaszcza ujawnienie w 2010 roku szczegółów błędu w Centrum pomocy i obsługi technicznej, który zagrażał użytkownikom systemów Windows XP i Windows Server 2003. Stało się to zaledwie pięć dni po przekazaniu informacji o luce Microsoftowi, inżynierowie tej firmy nie mieli więc szans na zbadanie błędu i przygotowanie poprawki. Takie posunięcie spotkało się zresztą z ostrą krytyką specjalistów ds. bezpieczeństwa, również tych niezwiązanych z Microsoftem.

Efekt? Z lekkim opóźnieniem luka została załatana, a gigant z Redmond zapowiedział odejście od koncepcji Responsible Disclosure (odpowiedzialnego ujawniania), która polega na powiadomieniu producenta o znalezionym błędzie i zaczekaniu, aż ten przygotuje poprawkę, co w wielu przypadkach mocno się przeciąga. Nowej strategii nadano nazwę Coordinated Vulnerability Disclosure - zakłada ona możliwość upublicznienia informacji o luce w przypadku aktywnego jej wykorzystywania przez twórców złośliwych kodów.

Nowe odkrycie Tavisa Ormandy'ego

Sonda
Czy odkrywca luki powinien czekać z jej ujawnieniem, dopóki producent nie przygotuje poprawki?
  • Tak, w każdym przypadku
  • Nie, jeśli luka jest już aktywnie wykorzystywana
  • Nie, może o niej poinformować, kiedy chce
wyniki  komentarze

Szczegółowe informacje o luce 0-day, która zagraża użytkownikom prawdopodobnie wszystkich wersji Windowsa, pojawiły się w tym tygodniu na liście Full Disclosure. Odkryta przez Ormandy'ego usterka pozwala procesowi działającemu z uprawnieniami zwykłego użytkownika zwiększyć je do poziomu systemowego, aby wykonać dowolny kod.

Przyczyną problemu jest błąd projektowy w podsystemie GDI (ang. Graphics Device Interface), komponencie systemu Windows odpowiedzialnym za odwzorowywanie grafiki na urządzeniach wyjściowych, takich jak monitory czy drukarki. Luka występuje w obsłudze tzw. ścieżek (ang. Paths), więcej szczegółów technicznych można znaleźć w niedawno uruchomionym serwisie BAD[SECTOR].PL oraz - co dość oczywiste - na blogu samego odkrywcy błędu.

Kiedy można spodziewać się poprawki, nie wiadomo. Do czasu jej wydania eksperci zalecają unikać uruchamiania programów niewiadomego pochodzenia, pobierania kodeków wideo z niewiarygodnych źródeł i korzystania z wtyczek do przeglądarek, które mogą zawierać usterki bezpieczeństwa.

Zobacz także: Wielkie łatanie Internet Explorera i kilka aktualizacji istotnych dla przedsiębiorców


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *