Microsoft wciąż nie podał listy dziurawych programów
Microsoft wydał we wtorek kolejne oświadczenie w tej sprawie - firma zaleciła klientom m.in. skorzystanie z udostępnionego przed kilkoma dniami narzędzia do blokowania prób ataków. Koncern przyznał między wierszami, że problem z DLL może dotyczyć również pewnej liczby jego produktów - ale firma nie poinformowała, o które aplikacje chodzi.
Jerry Bryant, menedżer zespołu Microsoft Security Response Center (odpowiedzialnego za bezpieczeństwo produktów koncernu), napisał w firmowym blogu: "Oczywiście zamierzamy usunąć problemy związane z DLL, występujące w naszych produktach - zrobimy to w sposób, który będzie najbardziej odpowiedni dla naszych klientów, czyli przede wszystkim poprzez udostępnienie poprawek software'owych".
Koncern po raz kolejny nie poinformował, których aplikacji właściwie dotyczy problem - ale z niezależnych analiz wynika, że na "DLL-owy atak" podatne są m.in. Word 2007, PowerPoint 2007 and 2010, Książka adresowa Windows oraz Windows Live Mail.
Dodajmy, że na liście zagrożonych aplikacji innych producentów znalazły się m.in. Mozilla Firefox, Google Chrome czy Adobe Adobe Photoshop. Błędy wykryto również w programach uTorrent oraz Wireshark - ale ich autorzy już udostępnili użytkownikom stosowne poprawki. Nad patchem pracuje już Mozilla (powinien się pojawić lada dzień). W sumie do tej pory doliczono się co najmniej 40 aplikacji podatnych na taki atak.
Jerry Bryant przyznał, że problem jest poważny i że luki mogą zostać wykorzystane do atakowania użytkowników Windows. Zastrzegł jednak, że problem nie jest "krytyczny" (tym mianem określane są najpoważniejsze błędy - takie, które pozwalają na atak niezauważalny dla użytkownika). Microsoft uznał luki związane z DLL za "poważne", ponieważ co prawda umożliwiają uruchomienie w systemie złośliwego kodu, ale wcześniej użytkownik musi kilkakrotnie wyrazić zgodę na uruchomienie nieautoryzowanej biblioteki DLL.
Przedstawiciel Microsoftu zalecił też użytkownikom, by skorzystali z automatycznego narzędzia do blokowania prób ataków (uniemożliwia ono wykorzystanie w aplikacjach bibliotek DLL znajdujących się w niestandardowych lokalizacjach - np. osadzonych na stronach WWW czy zapisanych na pendrive). Koncern co prawda udostępnił ów program już kilka dni temu - ale okazało się, że dla wielu użytkowników korzystanie z niego jest zbyt skomplikowane. Dlatego teraz na firmowym blogu udostępniono szczegółową instrukcję.
Co więcej, Microsoft przygotował również aplet Fix IT, które automatycznie blokuje próby ataków (więcej informacji na ten temat znaleźć można na stronie firmy).
Warto odnotować, że koncern z Redmond wie o problemie co najmniej od roku - firma została o nim oficjalnie poinformowana przez naukowców z University of California w sierpniu 2009 r. Niewykluczone jednak, że przestępcy wiedzieli o nim jeszcze wcześniej - z niektórych analiz wynika, że lukę tę wykorzystywał już osławiony robak Nimda (który zaatakował internautów w roku... 2000).
- ~rtrtytr
- 2010-09-02 15:59:29
i na tym jest zarobek
- ~ssk
- 2010-09-02 17:50:13
w Linuksach takich dziur jest tysiące tylko głośno się o tym nie mówi.
- ~crank1985
- 2010-09-02 18:41:57
ssk: moje gratulacje. Liczba trolujących postów przez ciebie zamieszczonych w dniu dzisiejszym osiągnęła wartość wystarczającą do przyjęcia cię do klubu trola internetowego. W celu odebrania nagrody zgniłego ziemniaka zarejestruj się na twój.trol.pl
- ~gość
- 2010-09-02 18:42:22
Tak, świat milczy w trwodze przed wielkimi koncernami obracającymi miliardami dolarów dzięki Linuksowi. Ty może lepiej już wracaj do swojego gimnazjum :-)
- ~Zeke
- 2010-09-03 09:25:24
@77.254.209.22 Nie, świat milczy przytłoczony ekspercką wiedzą Wielkiego SSK! Kto śmiałby wypowiadać się przy nim!
- ~Gosć
- 2010-09-03 11:02:03
Zastanówcie się co wybieracie, tak naprawdę. Mając pakiet nr 1, który ma np. 1 zauważalny błąd i jego całkowity koszt używania (wraz z licencją, nauką, omijaniem błędów, ryzykami z błędów, czasem potrzebnym do wykonania prac i przygotowań i administracji itd.) wynosi np. 100zł ale w tym samym czasie, przychód całkowity dla mnie z niego to np. 1000zł. Mam też pakiet nr 2, który ma np. 10 zauważalnych błędów, jego koszt całkowity jest większy np. 1500zł le dla mnie przychód z jego używania w tym samym okresie to np. 5000zł. Jak widać, wybieram pakiet nr 2 - bo to jest biznes (3500zł zamiast ledwie 900zł), dlatego fetyszyzowanie czy absolutyzowanie liczby widocznych/poważnych czy jakichkolwiek błędów usuwanych po chwili lub nie usuwanych nie ma takiego znaczenia jak przychody minus koszta z uwzględnieniem faktycznego kontekstu.
- ~agh
- 2010-09-03 11:33:51
@ssk "w Linuksach takich dziur jest tysiące tylko głośno się o tym nie mówi." - niniejszym zostajesz przyjęty do Klubu Poszukiwaczy Spisków reprezentowanego przez ramonesa, który wcześniej już ogłosił to "odkrycie". BTW - zanim zaczniesz się dalej ośmieszać, poszukaj w google słowa "bugzilla".
- ~Dżyszla
- 2010-09-03 18:02:52
Nie rozumiem za bardzo. Tysiące aplikacji podpinają DLLki bez podawania ścieżki, co powoduje wyszukiwane (w kolejności): 1. w katalogu roboczym; 2. w katalogach określonych zmienną PATH zgodnie z kolejnością podaną. To jest bardzo często spotykana praktyka, która ułatwia programowanie, ale z drugiej strony umożliwia podstawienie innej DLLki w sposób bardzo prosty. Jakby ten ''błąd'' chcieć naprawiać, to tysiące, jak nie miliony aplikacji byłoby do zmiany.
- ~Leon
- 2010-09-04 00:27:53
@~Gosć * IP: 85.222.41.80 * 03-09-2010, 11:02 No i kolejny raz udowodniłeś, że nie tylko o IT nie masz pojęcia, ale również o ekonomii. Ja ekonomistą nie jestem i może się nieprecyzyjnie wyrażę, ale jeśli inwestuję 100zł i otrzymuję 1000zł, to mam zwrot 900%, jak inwestujesz 1500zł i otrzymujesz 5000zł, to mam zwrot 333%. Cóż za korzyść z tej drugiej opcji? I nie umniejszaj znaczenia błędów, zwłaszcza tych nieusuwanych. Jeśli konkurencja zdobędzie moje poufne dane przez błąd w oprogramowaniu (nie mówimy tu u głupocie użytkownika, bo na to żaden system nie pomoże), to mogę nawet tych 333% nie zarobić. Swoją drogą fajna taktyka Microsoftu - nie mówimy, które programy mają błędy, pod pozorem ochrony użytkownika (żeby "hakier" nie wiedział gdzie szukać). Problem w tym, że haker już wie, a użytkownik nie wie, na co uważać. Z resztą listę mogli by łatwo zbudować, wystarczy napisać "wszystko". Pewnie chłopaki szukają od 2 tygodni chociaż jednej ich aplikacji, które nie jest wrażliwa na ten błąd. Nie wiem, czy dobrze to zrozumiałem, ale wygląda na to, że wszystkie aplikacje, które nie odwołują się do jakichkolwiek dll-ek przez pełną ścieżkę, są wrażliwe na ten błąd (który nie wiem, czy jest błędem).
- ~rusineck
- 2010-09-04 17:48:16
@tad Podeślij ten swój śmieszny argument giełdzie w Londynie, oni się dawno przekonali, że pakiet nr 2 nie przynosi zysków tylko straty i wybrali pakiet nr 1. A może lepiej żebyś tkwił w swoim matrix''ie, będzie śmieszniej.
- ~crank1985
- 2010-09-06 12:32:49
IP: 85.222.41.80 Tylko, że pakiet pierwszy wdroży się w np. 3 dni, a drugi w 7 (bo trzeba zabezpieczyć te 10 błędów), w tym czasie pakiet pierwszy można wprowadzić w kolejnej firmie. W dodatku czas serwisowania będzie krótszy w 1 przypadku (mniej błędów = mniej krytycznych łatek mogących namieszać w systemie). Cytując twoje posty "optymalność za całokształt" jest ważniejsza.
- ~cabi
- 2010-09-08 15:08:28
Uważaj Microsoft, ty euto, nie rób więcej aplikacji dla swoich użytkowników.
- ~goliat
- 2010-09-22 11:16:16
to nie bug - to feature! dziala to dokladnie tak jak opisal dokladnie tak jak Dżyszla. czyli ze jezeli nie podamy kompletnej sciezki do DDLki to priorytet ladowania maja te w aktualnym katalogu execa. oczywiscie mozna to wykorzystac do roznych niecnych celow i wiadomo o tym bylo juz bardzo bardzo dawno. 5 lat temu pisalem o tym w pracy dyplomowej i nie byla to nowosc ;) zeby wykorzystac ta luke trzeba wczesniej pobrac DDLke i ja odpowiednio umiejscowic w systemie. a wierzcie mi, jezeli mozna osiagnac cos takiego to, to sa znacznie ciekawsze rzeczy do robienia ;>
Popularne produkty
Gra Xbox 360 Kinect Sports
Pobierz bezpłatnego e-booka 
Kariera w IT 2012
