Microsoft potępił odkrywców luki za jej upubliczni

Gość: ass IP: *.dip.t-dialin.net 14.04.05, 09:19

Microsoft bada raport dotyczący luki, która przy pomocy oprogramowania Office
lub Access mogła narażać komputery na ataki. Luka ta jest kolejną, po ośmiu
załatanych przez Microsoft we wtorek - informuje serwis hacking.pl
Firma Secunia twierdzi, że luka umożliwia intruzom wprowadzenie złośliwego
kodu na narażony komputer.
Microsoft nie potwierdził istnienia luki, która prawdopodobnie dotyczy
oprogramowania Microsoft Office i Microsoft Access.
Secunia ocenia problem, jako "wysoce niebezpieczny", ponieważ kod dla luki był
udostępniony na publicznej liście mailingowej.
"Luka powstała w wyniku błędu obsługi pamięci podczas przetwarzania plików baz
danych" - wynika z raportu firmy Secunia, cytowanego przez hacking.pl.
Przedstawiciel Microsoftu powiedział we czwartek, że firma nie zna przypadków
ataków na systemy klientów, przy użyciu niezałatanej luki.
"Zdajemy sobie sprawę, że ktoś wypuścił kod do luki" oświadczył przedstawiciel
Microsoftu dodając, że firma podejmie odpowiednie środki jak tylko zakończy
dochodzenie w tej sprawie.
Pierwszy alarm dotyczący luki pochodzi od HexView - firmy zajmującej się
badaniem zabezpieczeń - twierdzi Secunia.
Microsoft potępił odkrywców luki za jej upublicznienie. Według firmy lukę
należało poufnie zgłosić producentowi oprogramowania, tak, żeby łata była
gotowa w momencie ujawnienia luki. Podtrzymuje to trwającą debatę dotyczącą
sposobu postępowania badaczy podobnych słabości.
"Szkoda, że odkrywca zdecydował się na upublicznienie" - powiedział
przedstawiciel Microsoftu.
HexView we własnym oświadczeniu stwierdził, że powiadomił Microsoft o luce 30
marca, ale nie otrzymał żadnej odpowiedzi.
Przedstawiciel Microsoftu zaprzeczył, jakoby firma otrzymała jakiekolwiek
informacje od HexView, przed upublicznieniem luki - pisze serwis hacking.pl.

Obserwuj wątek

Drzewko
Od najstarszego
Od najnowszego

user0001 Znowu? 14.04.05, 10:02

Po części rozumiem M$, twórcy aplikacji powinni otrzymać informację wcześniej,
aby zdążyli przygotować łatę, przed upublicznieniem luki. Ale bez przesady
wcześniej to znaczy 48 godzin, maksymalnie 7 dni.

Dłuższy czas między powiadomieniem twórców o wykryciu luki, a powiadomieniem
użytkowników aplikacji, to już manipulacja. To co poszukiwacze nazywają dziurą,
może być umyślnie wstawionymi tylnymi drzwiami, umożliwiającymi priorytetowym
klientom M$ (rządowi) dostęp do danych na komputerach obywateli. O takich
dziurach chcę być szybko powiadamiany.

Utajanie na wiele tygodni luk, to manipulacja innego rodzaju. Dziury zgłoszone
do M$ po cichu "nie istnieją", a w związku z tym nie wypływają na statystyki
bezpieczeństwa systemu.

Według mnie chęć ukrycia luk przez M$, nie ma nic wspólnego z dobrem klienta, a
jest działaniem marketingowym.
- Gość: ass Re: Znowu? IP: *.dip.t-dialin.net 14.04.05, 10:32
  
  To jest SB Microsoftu.
  Juz pisalem o tym.
  Niecale 3-5 miesiecy temu w niemieckim Online pisali,
  jak zabezpieczyc komputer przed (Uwaga!)Microsoft-em.
  Do tego bylo szczegolowo opisane (z obrazkami)jakie
  funkcje wylaczyc,jakie ustawic (na manualne-bo przewaznie sa autom.)
  jakie wykasowac w Windowsie.
  Wyszlo ztego ze Micosoft jest najwiekszym "szpiclem" wlasnego
  produktu a co za tym idzie wszystkich uzytkownikow Windowsa.
  Nie na darmo dawali kody Windowsa wszystkim (no nie calkiem)krajom.
  Chcieli przez to sie usprawiedliwic i nie byc jedynymi Hackerami.
- Gość: dominik666 Re: Znowu? IP: *.wroclaw.dialog.net.pl 14.04.05, 11:03
  
  nikt nie wspomniał o fakcie że "straśne dziury" mają jedynie harakter lokalny
  dwie dotyczą msword a jedna msjet ( i to specjalnej wersji msjet40.dll)
  
  update :
  luka w msjet40.dll umożliwia rewerse shell - ale dziure exploit`uje się
  lokalnie podstawiając plik .mdb jeśli się myle to popraw mnie user0001
  www.frsirt.com/exploits/20050412.mdb.py.php
  - Gość: Ratunku Re: Znowu? IP: *.icm.edu.pl / *.icm.edu.pl 14.04.05, 12:46
    
    Znowu zrabalem sie. Ze strachu!
  - user0001 Re: Znowu? 14.04.05, 13:31
    
    Jak zapewne zauważyłeś, nie napisałem słowem o tych konkretnych lukach, ale o
    zagrożeniach jakie niesie ze sobą tuszowanie problemów z bezpieczeństwem systemu.
    - kell99 Re: Znowu? 14.04.05, 14:32
      
      a wiele firm dalej blokuje sp2 jako "niebezpieczne" ;) 48h na wypuszczenie laty
      to jedno, ale wieki zajmuje instalacja takiej laty na desktopach..
      czy tylko mnie sie wydaje, czy to taki blad ktory powinien byc wychwycony przez
      QA przed wypuszczeniem produktu?
      - Gość: ass Re: Znowu? IP: *.dip.t-dialin.net 14.04.05, 16:01
        
        I jeszcze cos:
        Według najnowszych doniesień konsola Xbox 2 powinna być dostępna w sprzedaży na
        przełomie października i listopada 2005, w początkowej cenie prawdopodobnie
        oscylującej pomiędzy $249 a $299. Opierając się na doniesieniach analityków na
        rynek do końca roku powinno trafić aż 3 miliony sztuk konsoli nowej generacji.
        Okres świąteczny i chwilowy brak konkurencji ze strony Nintendo Revolution i
        PS3, może okazać się dla znanej korporacji prawdziwą żyłą złota. Gigant z
        Redmond nie ustaje w staraniach, by zdystansować konkurencję w postaci PS3 Sony,
        której premiery możemy się spodziewać jednak nie wcześniej, niż w połowie roku
        2006 (premiera w Japonii tradycyjnie odbędzie się w pierwszej kolejności,
        prawdopodobnie w pierwszym kwartale 2006 r.).
        Informacje są dość wiarygodne, gdyż pojawiły się w nowym numerze znanego
        magazynu Forbes, w artykule przygotowanym przez firmę inwestycyjną Goldman
        Sachs. Czas pokaże czy agresywna polityka marketingowa Microsoftu i
        przyspieszenie premiery nowej platformy przyniesie oczekiwane rezultaty.
        
        kell99 Re: Znowu? 14.04.05, 16:06
        
        xbox mial byc zyla zlota, a wcale taki dochodowy nie jest. m$ postepuje tutaj w
        stylu, nie wazne, ze do tego doplacamy, jak wykonczymy konkurencje to bedzie
        lepiej;) tylko czy sony nie jest odrobine zbyt duzym przeciwnikiem? m$ lubi
        rzucac sie na bezbronne cele:)
      - Gość: info Re: Znowu? IP: *.hsd1.ct.comcast.net 14.04.05, 23:07
        
        Who Really Controls Your PC? wiecej o service pack2 i polityce m$
        www6.tomshardware.com/column/20050414/sp2-02.html
        
        dominik666 Re: Znowu? 14.04.05, 23:42
        
        Gość portalu: info napisał(a):
        
        > Who Really Controls Your PC? wiecej o service pack2 i polityce m$
        
        what ta ...
        w trakcie tekstu (z góry zakładającego że Sp2 jest Evil ? :)
        Richard Rushing, CTO for wireless monitoring software firm AirDefense, is
        certainly no outspoken advocate for Microsoft. He has painful memories about
        installing SP2 for his company's 100-user network. "I remember I had to
        download for my notebooks maybe 20 MB of firmware, BIOS patches and everything
        else just to get them to work,"
        
        Ohhh no strasznie się napracował,strasznie...
        
        później
        Rushing says. "You get a lot of good warning messages, such as when you connect
        to an access point, you learn [with a warning] message that it is open and
        unencrypted, and it prompts you to see if you need to connect or not,"
        
        no dobra - najlepiej jak by w ogóle nie informował że połączenie jest nie
        szyfrowane
        
        straszny ten SP2,straszny - robi wszystko za użytkownika,informuje go o
        niebezpieczeństwach i ściąga update`y firmware`u ...
        
        a na koniec tego "dzieła" dowiedziałem się że sniffing danych
        wysyłanych/pobieranych z linux`a jest niemożliwy a win 98 (7 letni produkt)
        jest zaniedbywany.
        
        stek bzdur.
        
        <Wieder etwas gelernt>
        
        Gość: ass Re: Znowu? IP: *.dip.t-dialin.net 15.04.05, 00:31
        
        <Wieder etwas gelernt>
        Tak jest cale zycie.

Najnowsze z forum Komputer

Zaloguj się