mboost-dp1
unknown
http://channel9.msdn.com/ShowPost.aspx?PostID=1512...
Stepto er fra Microsoft’s Security Response Center, for at se en smule om hvad de selv siger, på knapt så official vis :)
Stepto er fra Microsoft’s Security Response Center, for at se en smule om hvad de selv siger, på knapt så official vis :)
en uge og det kan være for sent. se bare hvordan det gik med blaster ;)
[spoiler]jeg har hørt at kernel.org også har en patch ;)
[/spoiler]
[spoiler]jeg har hørt at kernel.org også har en patch ;)
[/spoiler]
Nej, jeg mener helt klart at patches skal laves af firmaet selv, og ærlig talt så burde MS have en patch ude på nuværende tidspunkt. Om ikke andet så én der deaktiverede de dele, der er defekte (previews af billeder er jo altså ikke mission critical) indtil en rigtig patch var klar...
Det letteste og bedste i alle tilfælde vil være at lade producenten af softwaren rette fejlene, det mener jeg og det vil jeg altid mene. Men men men, Hvis ikke de kan klare opgaven hurtigt nok eller på anden vis forsømmer deres kunder så må man jo ty til andre midler. Microsoft skulle bare sætte lidt mere kapital af til rettelser end de gør det kan simpekthen ikke passe at et firma med så stort et budget ikke har resourcer nok til det! Hvis det altså er det der er problemet. Hvis det er fordi det vil udsende den sammen med de andre månedlige opdateringer så er de slet og ret nogle fjolser.
Kan man ikke bare bruge den workaround som har været omtalt her??
Den med REGSVR32 /U SHIMGVW.DLL.
Der er måske noget der ikke virker, men det er da bedre end at få virus/malware.
Den med REGSVR32 /U SHIMGVW.DLL.
Der er måske noget der ikke virker, men det er da bedre end at få virus/malware.
#7
Jo det er da muligt man kan det, men det ændre stadig ikke på problemet. Det kan godt ske at du og jeg og 1.000.000 andre nørder for rettet problemet på vores maskine men hvad så med de 200.000.000+ som ikke gør??? Virus/Malware/spyware distribueres ofte via hjemme pc'er + mindre servere, contacts og e-mail. Virus/spyware/malware netværket skal nedbrydes og en god start at sikre OS.
Jo det er da muligt man kan det, men det ændre stadig ikke på problemet. Det kan godt ske at du og jeg og 1.000.000 andre nørder for rettet problemet på vores maskine men hvad så med de 200.000.000+ som ikke gør??? Virus/Malware/spyware distribueres ofte via hjemme pc'er + mindre servere, contacts og e-mail. Virus/spyware/malware netværket skal nedbrydes og en god start at sikre OS.
Man kan sagtens diskutere, om 3. parts patches er vejen frem.
Men faktum er at Microsoft, har haft chancen længe.Og der påhviler sgu firmaer, et større ansvar for at lappes hurtigt, når de bevidst holder deres brugere hjælpeløse med manglende kodeadgang.
Det eneste relevante jeg ser grund til at diskutere, omkring 3 part patches, er hvorvidt den oprinder fra troværdige folk.
Det er en stor tillidssag, at køre software uden offentlig kodeadgang. Det mindste de kan gøre, er sgu at leve op til den tillid.
Ser det derfor kun som positivt, at et anerkendt sikkerhedsfirma tager sagen i egen hånd. Når det nu ikke kunne være anderledes.
Men faktum er at Microsoft, har haft chancen længe.Og der påhviler sgu firmaer, et større ansvar for at lappes hurtigt, når de bevidst holder deres brugere hjælpeløse med manglende kodeadgang.
Det eneste relevante jeg ser grund til at diskutere, omkring 3 part patches, er hvorvidt den oprinder fra troværdige folk.
Det er en stor tillidssag, at køre software uden offentlig kodeadgang. Det mindste de kan gøre, er sgu at leve op til den tillid.
Ser det derfor kun som positivt, at et anerkendt sikkerhedsfirma tager sagen i egen hånd. Når det nu ikke kunne være anderledes.
Man kan også ske at en 3. parts patch skaber andre problemer og så er man inde i en spiral.
Lad Microsoft patche deres eget software. Det er bare for dårligt at de ikke prioriterer dette højere og det skal de have hug for
Lad Microsoft patche deres eget software. Det er bare for dårligt at de ikke prioriterer dette højere og det skal de have hug for
#6: Hvis MS havde bare en smule styr på det de lavede så havde fejlen aldrig sneget sig ind. Og når nu fejlen er der havde en med styr på tingene allerede udgivet en rettelse.
Fejl er menneskelige, men en så alvorlig fejl som denne er ikke acceptabel - uanset hvem der laver den.
Konklusion: MS har meget lidt styr på tingene, eller det er bevist sløseri (Læs de økonomiske hensyn vejer tungt)..
Fejl er menneskelige, men en så alvorlig fejl som denne er ikke acceptabel - uanset hvem der laver den.
Konklusion: MS har meget lidt styr på tingene, eller det er bevist sløseri (Læs de økonomiske hensyn vejer tungt)..
TullejR:
Du skulle måske vide hvad du taler om når du bruger eksempler, til din information så var patchen til Blaster problemet (Overflow i Remote Procedure Call) fikset i en patch, som udkom ca. 1½ måned FØR Blaster slog til. Den fik simpelthen så godt fat fordi folk ikke GIDER opdatere.
Så med både Blaster og Sasser hjalp det ikke en hujende fis at MS lavede en patch hurtigt. Det der har gjort det her så farligt er jo, at alle de her "Security Researchers" sender kodeeksempler ud, så selv den mindste script kiddie kan lave et exploit.
Du skulle måske vide hvad du taler om når du bruger eksempler, til din information så var patchen til Blaster problemet (Overflow i Remote Procedure Call) fikset i en patch, som udkom ca. 1½ måned FØR Blaster slog til. Den fik simpelthen så godt fat fordi folk ikke GIDER opdatere.
Så med både Blaster og Sasser hjalp det ikke en hujende fis at MS lavede en patch hurtigt. Det der har gjort det her så farligt er jo, at alle de her "Security Researchers" sender kodeeksempler ud, så selv den mindste script kiddie kan lave et exploit.
#13
det ændrer ikke på at dette hul kan være et helvede i morgen, sådan noget sker jo fra dag til dag. om MS har frigivet en patch eller ej er jo ikke mit problem, det er deres problem at de ikke kan få folk til at opdatere - måske folk ikke stoler på ms' patches? man har trodsalt tit hørt om folk med problemer med dem.. se bare SP2 ;)
faktum er at hvis ms fik sparket den patch ud så ville folk have et VALG. og der må trods alt have været folk der havde installeret patchen mod RPC-buggen, så derfor vil jeg tillade mig at konkludere at dette hul kan, som det hele ser ud nu, give større problemer end blaster ;)
det ændrer ikke på at dette hul kan være et helvede i morgen, sådan noget sker jo fra dag til dag. om MS har frigivet en patch eller ej er jo ikke mit problem, det er deres problem at de ikke kan få folk til at opdatere - måske folk ikke stoler på ms' patches? man har trodsalt tit hørt om folk med problemer med dem.. se bare SP2 ;)
faktum er at hvis ms fik sparket den patch ud så ville folk have et VALG. og der må trods alt have været folk der havde installeret patchen mod RPC-buggen, så derfor vil jeg tillade mig at konkludere at dette hul kan, som det hele ser ud nu, give større problemer end blaster ;)
#14
Syntes dog problemet ligger lidt mere i de fucking spassere der misbruger disse fejl til ulovligheder.
Fordi lige meget om det hedder MS, Linux, Mac osv.. vil der altid være fejl og antallet af brugere gør det værre. flere at ramme og som evt ikke har en opdatering eller ikke kan finde ud af det.(Hr og Fru jensen)
Syntes dog problemet ligger lidt mere i de fucking spassere der misbruger disse fejl til ulovligheder.
Fordi lige meget om det hedder MS, Linux, Mac osv.. vil der altid være fejl og antallet af brugere gør det værre. flere at ramme og som evt ikke har en opdatering eller ikke kan finde ud af det.(Hr og Fru jensen)
et lille quote fra ing.dk:
der er altså allerede nogle der udnytter hullet - så MS bør bare lette røven og få sendt det plaster ud!
generelt er jeg enig i at patches bør komme fra officiel side eller som minimum være verificeret fra officiel side, men når ikke MS (i dette tilfælde) kan nosse sig sammen, så er det da bedre at bruge en uofficiel patch end ikke at få det lappet... lad os få noget gaffa til alle de huller ;)
Samtidig oplyser sikkerhedsfirmaet F-Secure, at en ny version af sårbarheden allerede nu er blevet spammet til en række høj-profilerede e-mail adresser, hvor afsenderen af e-mailen anmoder brugeren om at åbne et vedhæftet WMF-billede.
E-mailen lader til at være sendt fra det amerikanske udenrigsministeriums sikkerhedsafdeling.
F-Secure kan også berette, at der bliver spammet en "godt nytårs"-e-mail rundt, der inficerer computeren, blot filen bliver åbnet, vist som preview i Windows Stifinder eller sågar indekseret af Google Desktop, der indekserer filer på computeren.
der er altså allerede nogle der udnytter hullet - så MS bør bare lette røven og få sendt det plaster ud!
generelt er jeg enig i at patches bør komme fra officiel side eller som minimum være verificeret fra officiel side, men når ikke MS (i dette tilfælde) kan nosse sig sammen, så er det da bedre at bruge en uofficiel patch end ikke at få det lappet... lad os få noget gaffa til alle de huller ;)
Rent faktisk er det ikke en fejl men en feature. http://www.f-secure.com/weblog/archives/archive-01...
Det ændre dog ikke på at der burde være en patch ude nu...
Det ændre dog ikke på at der burde være en patch ude nu...
#18
At Microsoft er for langsom kan vi hurtigt blive enig om. Men at brokke sig over manglene kodeadgang er da direkte stupidt. Jeg er pro open-source men, nu er det sådan at Windows ikke er det og hvis det var så ville samtlige netværk og it-systemer bliver nedbrudt i løbet at meget kort tid netop pga. adgang til koden. Det vil simpelthen være for nemt.
At Microsoft er for langsom kan vi hurtigt blive enig om. Men at brokke sig over manglene kodeadgang er da direkte stupidt. Jeg er pro open-source men, nu er det sådan at Windows ikke er det og hvis det var så ville samtlige netværk og it-systemer bliver nedbrudt i løbet at meget kort tid netop pga. adgang til koden. Det vil simpelthen være for nemt.
Står der noget sted, at Microsoft bevidst "nøler" med at frigive fejlrettelsen? Hvis ikke, hvorfor antager nogle det så herinde?
Eftersom Microsoft har så stor en kundeskare, kunne det være, at de ville kvalitetssikre deres fejlrettelse inden de sendte den ud og forsøge at sørge for, at en fejlrettelse ikke blot skabte nye fejl og sårbarheder. Det kan måske være svært for en open-source-fanatiker at forstå?
Gang på gang klandres Microsoft for at have tvivlsomme intentioner. Jeg er sikker på, at de gør alt hvad de kan inden for visse restriktioner for at yde deres kunder den bedst mulige service.
Derudover er jeg enig med andre herinde i, at det skal være den oprindelige skaber af produktet der udgiver fejlrettelser.
Eftersom Microsoft har så stor en kundeskare, kunne det være, at de ville kvalitetssikre deres fejlrettelse inden de sendte den ud og forsøge at sørge for, at en fejlrettelse ikke blot skabte nye fejl og sårbarheder. Det kan måske være svært for en open-source-fanatiker at forstå?
Gang på gang klandres Microsoft for at have tvivlsomme intentioner. Jeg er sikker på, at de gør alt hvad de kan inden for visse restriktioner for at yde deres kunder den bedst mulige service.
Derudover er jeg enig med andre herinde i, at det skal være den oprindelige skaber af produktet der udgiver fejlrettelser.
#20 hede
Godt så...
Jeg brokker mig ikke direkte over det. Jeg fremhæver at det at de fratager deres brugere den mulighed, giver dem et endnu større ansvar for at holde dem sikre.
Hvis du vitterligt ER "pro-opensource", så er det PINLIGT at du tror på myten om, at fri kodeadgang, udgører en risiko. Det er en meget anti-opensource myte. Så jeg tvivler lidt, på hvad du i virkeligheden er "pro" overfor.
#21
De har åbentlyst lavet udtalelser i pressen, som lugter af at de bagatelisere problemmet.
At Microsoft er for langsom kan vi hurtigt blive enig om.
Godt så...
Men at brokke sig over manglene kodeadgang er da direkte stupidt.
Jeg brokker mig ikke direkte over det. Jeg fremhæver at det at de fratager deres brugere den mulighed, giver dem et endnu større ansvar for at holde dem sikre.
Jeg er pro open-source men, nu er det sådan at Windows ikke er det og hvis det var så ville samtlige netværk og it-systemer bliver nedbrudt i løbet at meget kort tid netop pga. adgang til koden. Det vil simpelthen være for nemt.
Hvis du vitterligt ER "pro-opensource", så er det PINLIGT at du tror på myten om, at fri kodeadgang, udgører en risiko. Det er en meget anti-opensource myte. Så jeg tvivler lidt, på hvad du i virkeligheden er "pro" overfor.
#21
De har åbentlyst lavet udtalelser i pressen, som lugter af at de bagatelisere problemmet.
#20 sKIDROw
Jamen microsoft har masser af features til at styre sin pc de er ikke synlige og det er godt for vi skulle nødigt ha at hr. og fru jensen piller ved noget de ikke ved. I mange tilfælde kan man finde en "work-around" til mange problemer som opstår i MS's OS's dog ikke direkte kode fejl ol. Men nu er det her ikke en kodefejl. REGSVR32 /U SHIMGVW.DLL og det her hjælper.
Myte el. ej så er det min holdning, og dine argumenter piller i hvert fald ikke ved det. Men måske lidt viden om hvorfor kan få mig overbevist. Men her er ikke stedet at tale om myter, så skal der oprettes en anden tråd så kan vi tage diskutionen op der.
Jamen microsoft har masser af features til at styre sin pc de er ikke synlige og det er godt for vi skulle nødigt ha at hr. og fru jensen piller ved noget de ikke ved. I mange tilfælde kan man finde en "work-around" til mange problemer som opstår i MS's OS's dog ikke direkte kode fejl ol. Men nu er det her ikke en kodefejl. REGSVR32 /U SHIMGVW.DLL og det her hjælper.
Myte el. ej så er det min holdning, og dine argumenter piller i hvert fald ikke ved det. Men måske lidt viden om hvorfor kan få mig overbevist. Men her er ikke stedet at tale om myter, så skal der oprettes en anden tråd så kan vi tage diskutionen op der.
Om 3-part lappeløsninger er vejen frem vil jeg godt lige kommentere. Den her fejl i Windows er ret seriøs og når eks.
https://www.cert.dk/nyheder/nyheder.shtml?06-01-02...
Anbefaler at installere den så er der ikke nogen tvivl hos mig. Naturligvis hvis det er en server man gør det på så skal det grundigt testes.
Microsoft må sgu sætte et par programmøre på overarbejde når sådant noget bliver opdaget.
:)LeonM
https://www.cert.dk/nyheder/nyheder.shtml?06-01-02...
Anbefaler at installere den så er der ikke nogen tvivl hos mig. Naturligvis hvis det er en server man gør det på så skal det grundigt testes.
Microsoft må sgu sætte et par programmøre på overarbejde når sådant noget bliver opdaget.
:)LeonM
#25> Der er helt sikkert også travlt hos MS med at fikse det, tror ikke ligefrem at deres udviklere tager den med ro, når der opstår noget som dette her.
#27> Jeg tror bare det er manges mulighed (i hvert fald hvad jeg ser andre steder også) til at pive over MS, og svine dem til.
Som #28 siger, så er den formentlig ikke helt færdig og gennemtestet endnu. Problemet ville jo være, at hvis de udgiver en patch som skaber nye problemer, så er den jo endnu mere gal.
Som #28 siger, så er den formentlig ikke helt færdig og gennemtestet endnu. Problemet ville jo være, at hvis de udgiver en patch som skaber nye problemer, så er den jo endnu mere gal.
#22
Jeg tror at det han mener at blev kildekoden frigivet til XP nu vil der indenfor kortid blive fundet uoverskulig mange fejl - det tyder jo på at XP nemt kan gemme på rigtig mange svagheder enddnu..
- Men blev eks. næste generation eks. frigive på msdn for release i butikkerne er det en anden sag der nok ville kunne forbedre sikkerheden betydeligt - men at vente med et release deres produkt kan være en dyr fornøjelse.. nok derfor den første XP der blev released burde blive kalt beta med alle de fejl den includeret...
Jeg tror at det han mener at blev kildekoden frigivet til XP nu vil der indenfor kortid blive fundet uoverskulig mange fejl - det tyder jo på at XP nemt kan gemme på rigtig mange svagheder enddnu..
- Men blev eks. næste generation eks. frigive på msdn for release i butikkerne er det en anden sag der nok ville kunne forbedre sikkerheden betydeligt - men at vente med et release deres produkt kan være en dyr fornøjelse.. nok derfor den første XP der blev released burde blive kalt beta med alle de fejl den includeret...
#24 hede
DU påstod at du var pro-opensource. Så er det blot jeg påpeger, at det i såfald hænger dårligt sammen med, at viderefortæller myter.
Der findes INGEN dokumentation for, at det medfører forhøjet risiko, at have 100% fri kodeadgang. Og derfor er det i bedste fald en myte, som folk ud af naivitet klinger sig til.
Men ja det er off topic. Så jeg vil lade det blive ved det.
DU påstod at du var pro-opensource. Så er det blot jeg påpeger, at det i såfald hænger dårligt sammen med, at viderefortæller myter.
Der findes INGEN dokumentation for, at det medfører forhøjet risiko, at have 100% fri kodeadgang. Og derfor er det i bedste fald en myte, som folk ud af naivitet klinger sig til.
Men ja det er off topic. Så jeg vil lade det blive ved det.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund