A biztonság sínyli meg a Microsoft és a Google makacskodását
Nem először fordul elő az idén, hogy a Google munkatársai úgy tesznek közzé biztonsági résekről szóló információkat, hogy azt megelőzően a Microsoft még nem adta ki a sebezhetőségek megszüntetéséhez szükséges frissítéseket. Nyilvánvalóan a két cég ellentétesen ítéli meg a történteket, azonban annyi biztos, hogy már a korábbi véleményeltérések sem használtak a rendszerek biztonságának.
Az első vitát Tavis Ormandy, a Google biztonsági kutatójának bejelentése váltotta ki, ugyanis a szakember június elején közölte, hogy öt napot ad a Microsoft fejlesztőinek arra, hogy az általa felfedezett, a Windows Súgó és Támogatás Központjában található sérülékenységet megszüntesse. Kijelentette, hogy amennyiben ez nem történik meg, akkor nyilvánosságra hozza a jogosulatlan távoli rendszerhozzáférésekre lehetőséget adó sebezhetőség kihasználására alkalmas kódokat. A hibajavítás nyilván öt nap alatt nem készülhetett el, viszont Ormandy tartotta magát az ígéretéhez, és közzétette a kutatásának eredményeit.
A Google és a Microsoft közötti vita második felvonásához a múlt héten érkeztünk el, amikor Chris Evans, a Google mérnöke az egyik levelezőlistán egy olyan exploitot publikált, amely egy több éve létező sérülékenységre épül. Evans azzal indokolta a döntését, hogy megítélése szerint a Microsoft nem foglalkozott megfelelő módon a korábban tett, biztonsági hibával kapcsolatos bejelentésével. A múlt hét óta a Microsoft jelezte, hogy jelenleg is vizsgálja az Evans féle sérülékenységet, és egyelőre nem tud olyan sikeres támadásokról, amelyek ezt a biztonsági rést használták volna ki.
Chris Evans tulajdonképpen egy olyan, - ezúttal Internet Explorert érintő - sebezhetőségre hívta fel a figyelmet az akciójával, amelyről 2002-ben a Carnegie Mellon Egyetem kutatói már beszámoltak. Az úgynevezett "cross-origin CSS" sérülékenységről van szó, amely adatlopásokra, webes levelezőrendszerekhez használt hitelesítő információk kiszivárogtatására és akár kéretlen Twitter üzenetek küldésére is felhasználható.
A cross-origin CSS alapú sebezhetőségek igazán csak 2009 végén kaptak nagyobb figyelmet, amikor Evans közölte, hogy a sérülékenység megtalálható a Chrome böngészőben. Állítólag már nyolc hónappal a közleményének publikálása előtt jelezte a böngésző fejlesztőinek a hibával kapcsolatos észrevételeit, de a sérülékenység orvoslására csak idén januárban került sor. Aztán kiderült, hogy a sebezhetőség a Firefox, a Safari, az Opera valamint az Internet Explorer 8 böngészőkben is megtalálható. Ez utóbbi kivételével már az összesen sikerült befoltozniuk a fejlesztőknek a biztonsági rést. A Mozilla a rendellenességet a Firefox 3.6.7, illetve a Firefox 3.5.11 kiadásával szüntette meg.
A Microsoft egyelőre nem kívánt nyilatkozni azzal kapcsolatban, hogy az Internet Explorer 8-on kívül érintettek-e más verziók. Annyit lehet tudni, hogy a várhatóan szeptember 15-én megjelenő Internet Explorer 9 béta változata már nem tartalmazza a hibát. Viszont az továbbra is rejtély, hogy a jelenleg igencsak széles körben használt, 8-as verziójú böngészőre mikor kerülhet megfelelő folt. Az azonban biztos, hogy a biztonsági kutatóknak és a Microsoftnak mihamarabb dűlőre kell jutniuk a sérülékenységek megfelelő kezelését illetően, mert a jelenlegi helyzet nem szolgálja a rendszerek biztonságát.
15 hozzászólás
Nekem a cikkből az derül ki, hogy a biztonsággal egyedül a Microsoft nem foglalkozik kellőképpen. Végül is ezt csak azokat érinti, akik még használnak Microsoftos termékeket. Nem véletlenül van a gépemen az Ubuntu + Firefox kombo. A Microsoft egy rakás fos, akit csak a pénz érdekel.
egyetértek P100-zal
nem egyetértek P100-zal
Az Internet Explorer 8 jelenleg a világ legbiztonságosabb böngészője. Kérdezd meg a hacker verseny nyerteseit. (:
P100 Annyirra szeretem az ilyen beírásokat..Azt miért is nem írnak vírusokat Linuxra?? Igen igen azért , mert NEM ÉRI meg ennyi..Ha majd a Linuxnak lesz a Világon 80% részesedése akkor nem tudom mit csináltok a fene nagy nyílt forráskódotokkal. Az Ubuntuban a mai napig is vannak több éves kijavítatlan hibák.... DE visszatérve a cikrre lehet megszokásból fikázni a Microsoftot , de az utobbi években igenis nagyon sokat javultak a biztonság területén..Lássd a WIN7-et vagy a Mivrosoft SE-t De akár a Tüzfalat is említhetjük, meg a IE 8-at... Meg azért gondolkodjon el mindenki, hogy Tökéletes progi nincs Pláne egy olyan komplex program esetében mint a Windows és az IE..Szinte biztos hogy van bennük hiba meg rés bármennyirre is odafigyelnek az ellenörzésre.... Ez a Vita csak arra jó, hogy a közhangulatot az IE ellen fordítsák ..Gondolom így akarnak nagyobb szeletet a CHrome-nak és a Chrome OS nek...Viszont arról, meg nem szól a Fáma , hogy a Chromium alapu böngészöket miért is alakítják át , mert az eredeti Chrome is hemzseg a biztonsági hibáktól, Lássd a Comodo Dragont vagy a SRWARE IRONT..Meg lehet nézni mi mindent vettek ki a CHROME ból, hogy biztonságos böngészöt csináljanak...
Jelentem, semmilyen érdekem nem fűződik az Ms elleni hangulatkeltéshez, kényszerűségből használom, ehhez illő mértékű útálattal. Igaz, nincs hibátlan sw, mint ahogy semmi más se, de akkor nem kellett volna / nem kéne olyan agresszíven maga alá gyűrnie a világot. Ez az agresszívatás jelentős mértékben meg tudja emelni egy sw (és bármi más) hibáival szembeni tolerancia küszöbét. Gyűlölöm, ha erőszakkal, durván, gyakorlati választási lehetőség nélkül vesznek rá valamire. Hát én is osztom P100 keresetlen, ámde találó szavakkal kifejezett tömör véleményét.Ezért az op rendszeren kívül az Ms termékeket igyekszem nagy ívben elkerülni, és igen, másokat is erre ösztönözni. Persze jobb lenne ezt némi anyagi haszonszerzésért, de az elveimet ingyen is képes vagyok követni.
Bocs: "Ez az agresszívatás jelentős mértékben meg tudja emelni egy sw (és bármi más) hibáival szembeni tolerancia küszöbét." helyesen: "Ez az agresszívatás jelentős mértékben meg tudja emelni egy sw (és bármi más) hibáival szembeni INtolerancia küszöbét."
W666W: itt nem arról van szó, hogy írnak-e vírusokat linuxra vagy sem (egyébként írnak, csak nem működnek). Maga a Linux kernel teljesen más rendszer szerint épül fel, mint a Windows. Más a belső szabályrendszere, a megírásakor a biztonságos működés volt az elsődleges szempont, míg a Windows esetén a felhasználóbarát környezet. A Linuxban már a kezdetektől fogva megtalálható volt a multifelhasználó funkció és az, hogy minden művelet végrehajtása előtt jelszót kér a rendszer. A Windows ezeket mind a Linux-tól vette át, ahogy egyre inkább kezdték fontosnak érezni az emberek a biztonságot. A Vistában jelenik meg először a jelszó kérés művelet végrehajtáskor, de ennek a hatékonysága meg se közelíti a linux kernelre épülő disztribúcióékat. A Linuxra hiába ír valaki egy vírust, az egyszerűen működésképtelen, mivel úgy van megírva a rendszer, hogy a vírus már az első biztonsági kapun se tud áthaladni. Nem véletlenül fejlesztette egy időben az amerikai nemzetbiztonsági hivatal a Linuxot. Ha 2x annyi vírus is lenne Linuxra, mint most Windows-ra, akkor se lenne szükség külön víruspajzsra/tűzfalra.
P100 Remélem komolyan írtad, mert viccnek rossz volt... Nálam is fut Ubuntu+Róka az egyik, Vista+Róka a másik, és Xp+Róka a harmadik wincsin. Eben-Guba... Lássuk be azért mert LINUX (csupa nagy BETŰVEL!) azért nem jobb. És miért van már több víruskeresőnek Linuxos változata? Ráadásul a disztribúciók gyakran egyáltalán nem kompatibilisek 100%-ban egymással, emiatt a csomagok sokszor használhatatlanok egy adott változaton kívül... Szóval ilyenkor csak csóválom a fejem. Ja és még valami: a Linuxra írt vírusok rohamosan fejlődnek és a zömük FUT, ha tetszik, ha nem. Ennyi. (Nem vagyok MS fan, de nem estem hanyatt a Linux-tól sem). Üdv.
Programozó vagyok, csak tudom miről beszélek. Még szép, hogy a linux-on alapuló kernelek nem kompatibilisek egymással :D Csak a magjuk azonos. Egy Ubuntu, Suse nem olyan, mint egy Windows 95 és egy Windows 7. Ezek teljesen különálló operációs rendszerek, linux kernellel.
P100: Wikipédia: Windows NT is a family of operating systems produced by Microsoft, the first version of which was released in July 1993. It was originally designed to be a powerful high-level-language-based, processor-independent, multiprocessing, multiuser operating system with features comparable to Unix. Wikipedia idézet 2: The name "Linux" comes from the Linux kernel, originally written in 1991 by Linus Torvalds. A Linux-based system is a modular Unix-like operating system. It derives much of its basic design from principles established in Unix during the 1970s and 1980s. 93-ban az MS-nek már volt kész, használható terméke. 91-ben a linux még sehol sem volt szinte. Akkor mit is vett át az MS a linuxtól? Ne keverjük már össze a linuxot a unixal... egyébiránt meg a Win2K/XP-be sem kellett volna Adminisztrátori jogokkal bejelentkezni, mint ahogy a linuxba sem szokás, és akkor kicsit magasabb lett volna a biztonsági szint is. Csak az emberek erre lusták, ami viszont nem az oprendszer hibája. Nem vagyok sem winfan, sem linuxfan, sem macosxfan. Egyik sem jobb a másiknál, mindegyiknek megvan a helye. De ha valamit fikázunk, akkor legyünk már kicsit objektívebbek...
P100: Mint "programozónak", igazán tudnod kellene, hogy a linux az maga a kernel (az pedig mivel lenne kompatibilis ha nem magával) és a Suse, Ubuntu stb. csak disztribúciók, összeválogatott csomagok gyűjteményei. Amiben leginkább eltérnek a disztribúciók egymástól, az a csomagok összetétele és maga a csomagkezelés. Az egyikben a KDE az alapértelmezett desktop, a másikban a Gnome, stb. Ettől függetlenül bármelyikbe be lehet hegeszteni bármit, csak a ráfordítandó energia mennyisége a kérdés. Szóval, mielőtt hülyeségeket kezdesz el írkálni, előbb mélyedj el a témában, mr. "csak tudommiről beszélek" :D
Ez a "Linux contra Windows" vita sokáig tarthatna, Uraim. . . . A cikk kapcsán bennem egészen más aggodalmak fogalmazódtak meg. Vajon a MS froclizása nem a Google globális terjeszkedéséi politikájának egyik tudatos fogása ? . . . . . Osszd meg és uralkodj ! . . .A recept a régi, csak a köntöse más . . .
Gammadeus hát nemegyszer megfordult ez az én fejemben is. És ne felejtkezzünk el a csendben nyomuló Oracle-ról sem. Ő aztán lassan már ott van mindenütt, és nem sokkal kisebb mostanság már, mint a többiek... P100 én nem vagyok programozó, de a felhasználó szintet messze meghaladó rálátásom van (kényszerből). Semelyik op rendszert nem használom Root jogosultságokkal, az Ubuntut is rávettem még mindenre, amire akartam. DE: tessék tudomásul venni, hogy az MS agresszív nyomulása eredményeként natúr júzerek milliói gyűrik az MS termékeket eszméletlen mennyiségű problémát generálva az olyanoknak, mint Te meg még én is :-) Ha a Linuxot ennyien így, ilyen "kétbalkezesen" (bocsi mindenkitől ezt nem sértésnek szánom az átlag felhaszálók felé) használnák, ugyanennyi biztonsági incidens történne.
Ezért nem kell az átlag usernek kiadni a rendszergazdai jelszót. De ha mégis muszáj, akkor majd hozza helyre ő a rendszerét, ha valamit hagy root-ként lefutni. Ha meg nem tudja helyrehozni a hibát, vagy olyan mértékben károsodik a rendszer, az már az op rendszer futását is veszélyezteti / ellehetetleníti (igaz ez ma még igen ritka), akkor bizony tök mindegy mi van a keze alatt, mert az ilyen embertípus gondolkodás nélkül mindent "próba-szerencse" alapon jóváhagy, kipróbál. Az effélék magukra vessenek, ha még Linux alatt is tönkrevágják a gépüket, majd nyúljanak jó mélyen a zsebükbe, ha ismét működőképes rendszert akarnak !