Video: From Missingno to Heartbleed: Buffer Exploits and Buffer Overflows (November 2024)
Vsake kritične ranljivosti ni treba primerjati s Heartbleedom, da ga jemljemo resno. Pravzaprav vam ni treba pripravljati Heartbleeda ali Shellshocka, kadar obstaja nova programska napaka, ki zahteva takojšnjo pozornost.
Prejšnji teden je Microsoft popravil resno ranljivost v SChannelu (Secure Channel), ki obstaja v vsaki različici operacijskega sistema Windows od Windows 95. IBM-ov raziskovalec je hrošče poročal Microsoftu maja, Microsoft pa je težavo odpravil v okviru novembra Objava torka.
IBM-ov raziskovalec Robert Freeman je ranljivost označil za "redko hrošče, podobno enorogu".
Uporabniki morajo v svojih računalnikih zagnati sistem Windows Update (če je nastavljen, da se samodejno zažene, še bolje), skrbniki pa bi morali temu popravku dati prednost. Nekatere konfiguracije imajo lahko težave s popravkom in Microsoft je objavil rešitev za te sisteme. Za vse je poskrbljeno, kajne?
FUD ima grdo glavo
No, ne čisto. Dejstvo je, da obstaja - sedem mesecev pozneje! - ne trivialno število računalnikov, ki še vedno poganjajo operacijski sistem Windows XP, kljub temu da je Microsoft že aprila končal podporo. Torej naprave XP še vedno ogrožajo napad na oddaljeno izvrševanje kode, če uporabnik obišče spletno stran, ki jo ujamejo. Toda večinoma je zgodba enaka, kot je bila vsak mesec: Microsoft je odpravil kritično ranljivost in izdal obliž. Torek se ponaša kot običajno.
Dokler ni bilo. Morda so strokovnjaki za informacijsko varnost tako zmedeni, da mislijo, da morajo ves čas prodajati strah. Morda je dejstvo, da je bila ta ranljivost vnesena v kodo Windows pred 19 leti, sprožilo nekakšen Heartbacked-flashback. Ali pa smo prišli do točke, ko je senzacionalizem norma.
Vendar sem bil presenečen, ko sem v nabiralniku prejel naslednje zemljišče Craig Young, varnostnega raziskovalca Tripwireja, glede Microsoftovega popravka: "Heartbleed je bil manj zmogljiv kot MS14-066, ker je bil" samo "napaka pri razkritju informacij in Shellshock je bil oddaljeno izkoriščen samo v podskupini prizadetih sistemov."
Postalo je šala - če pomislite na to - žalostna - da moramo za vsako ranljivost, da bi dobili kakršno koli pozornost, zdaj imeti imenitno ime in logotip. Mogoče bo v naslednjem nastopal pihalni orkester in privlačen zvonček. Če potrebujemo te pasti, da bi ljudje resno vzeli varnost informacij, potem nastane težava in ne gre samo za hrošča. Smo prišli do točke, ko je edini način, da opozorimo na varnost, zateči k trikom in senzacionalizmu?
Odgovorna varnost
Všeč mi je bilo naslednje: "To je zelo resen hrošč, ki ga je treba takoj popraviti. Na srečo Microsoftov posodobljeni ekosistem platforme ponuja možnost, da se lahko vsaka stranka v tej uri v več urah popravi z Microsoft Update, " je dejal Philip Lieberman, predsednik Programska oprema Lieberman.
Ne razumite me narobe. Vesel sem, da je Heartbleed dobil to pozornost, saj je bil zaradi svojega širokega vpliva resno potreben za dosego ljudi zunaj skupnosti infosec. In ime Shellshock - iz tega, kar lahko povem - je izšlo iz pogovora na Twitterju, v katerem je razpravljalo o pomanjkljivosti in načinih, kako jo preizkusiti. Toda ranljivosti SChannel ni treba imenovati "WinShock" ali razpravljati o njeni resnosti v zvezi s temi napakami.
Lahko stoji in mora ostati samostojno.
"Ta ranljivost predstavlja resno teoretično tveganje za organizacije in jo je treba čim prej zakrpati, vendar nima enakega učinka ob izidu kot številne druge nedavno objavljene ranljivosti, " Josh Feinblum, podpredsednik za varnost informacij na Rapid7, je zapisal v objavi na blogu.
Lieberman je naredil zanimivo opažanje in ugotovil, da ranljivost SChannel ni bila podobna Heartbleedu, saj ni tako, kot da bi moral vsak prodajalec ali odjemalska programska oprema odpraviti težavo in sprostiti svoj popravek. Komercialna programska oprema z določenimi mehanizmi za dostavo popravkov, kot je Microsoft, pomeni, da ni treba skrbeti za "prekrivanje komponent različnih različic in scenarijev popravkov."
Ni pomembno, ali je to težko (pravi IBM) ali trivialno (pravi iSight Partners) izkoriščati. Spletno klepetanje kaže, da je to le vrh ledene gore, ranljivost SChannel pa lahko ustvari velik nered. To je huda hroš. O tem vprašanju govorimo samostojno, ne da bi se zatekli k taktiki strahu.