mboost-dp1

Microsoft

Microsoft advarer om kritisk sikkerhedshul i Windows

- Via eSecurity Planet - , redigeret af OnkelDunkel , indsendt af Hubert

Der er endnu lidt under en uge til den månedlige opdateringsrunde hos Microsoft, men alligevel har firmaet udsendt en advarsel, der især er relevant for alle brugere af Windows XP, Vista og Server 2003/2008.

Årsagen er, at der er opdaget en kritisk fejl i den del af Windows, som håndterer grafik (Windows Graphics Rendering Engine). Fejlen gør det muligt for uvedkommende at opnå fuld kontrol over den ramte computer.

For at udnytte fejlen skal en bruger lokkes til at åbne et billede, for eksempel via en hjemmeside eller et Word-dokument, der indeholder en miniature, et såkaldt thumbnail-billede. Ved at lave dette billede korrekt kan der skabes en overflow-fejl, som gør det muligt at afvikle kode.

Til trods for fejlen nu er kendt, oplyser Microsoft, at de ikke har kendskab til, den er blevet udnyttet. Der er i forbindelse med advarslen heller ikke udsendt en opdatering, som lukker for sikkerhedshullet, men i stedet beskrevet en vejledning til, hvordan man kan undgå at blive ramt.





Gå til bund
Gravatar #1 - Sikots
5. jan. 2011 16:13
Guide til at undgå at blive ramt:

"Lad være med at browse filer!"
Obvious solutions are ... obvious!
Gravatar #2 - Alrekr
5. jan. 2011 16:24
MS: Pas på! Hvis I åbne billeder, så risikerer I, at jeres computere overtages, og vi vil ikke hjælpe jer med at fikse fejlen før om en lille måned!

Brugere: Fedt I fortæller det, og at i frigiver ... wait, what?

Det hænger jo ikke sammen at informere om sådan en fejl, og så insistere på først at frigive en fix om en lille måned...
Gravatar #3 - Magten
5. jan. 2011 16:35
#2
Hvorfor ikke? Så er brugerne da i det mindste advaret.

Der er i øvrigt under en uge til patch tuesday, og mon ikke den kommer der? Eller måske før, det har de gjort tidligere ved meget kritiske fejl.
Gravatar #4 - Hekatombe
5. jan. 2011 16:42
Alrekr (2) skrev:
Det hænger jo ikke sammen at informere om sådan en fejl, og så insistere på først at frigive en fix om en lille måned...


Hvis du går ind på MS' side, så har de informeret om et "Workaround", så MS advare om at der er en kritisk fejl og de fortæller hvordan du undgår at blive ramt. Så det giver mening, hvertfald for mig.
Gravatar #5 - Alrekr
5. jan. 2011 16:45
Jeg læste for hurtigt, fik lavet 'uge' om til 'måned' i mit hoved. Forbandede ønske om at være sjov..

Kan godt se, at hvis de har en workaround, så er det meningsfyldt at advare. Hvis vi nu leger, at der er en måned til patch tuesday, og at de ikke havde lavet en workaround, så er min post stadig valid :)
Gravatar #6 - Spiderboy
5. jan. 2011 16:59
Suk... lærer folk ikke snart at tjekke sine bufferstørrelser? Eller skifte til et mindre arkæisk programmeringssprog/library, som gør det automatisk?
Gravatar #7 - GurliGebis
5. jan. 2011 17:01
Jeg vil mene det er bedre de bruger tiden det tager på at lave en fix som også virker over det hele, i stedet for at lave en hurtig patch, som så smadrer 10% af de installationer som den bliver lagt på. (Og når der er en workaround ser jeg ikke det som et stort problem - desuden er problemet slet ikke relevant i Windows 7, som er ret populær i forhold til Windows Vista)

#6> Tjaa, problemet er der ikke i Windows 7, så mon ikke de har lært noget siden da, siden de ikke har lavet samme fejl der.
Gravatar #8 - arne_v
5. jan. 2011 17:45
Spiderboy (6) skrev:
Suk... lærer folk ikke snart at tjekke sine bufferstørrelser?


Formentligt kender de pågældende programmører udmærket risici ved buffer overflow.

Spørgsmålet er ikke om man kender problemet men om man kan undgå at skabe problemet - vel at mærke undgå det i 100000 ud af 100000 tilfælde. For man det kun rigtigt 99950 ud af 100000 tilfælde, så er der 50 muligheder for bufferoverflow i koden. Det er svært at lave 0 fejl ud af 100000 mulige, når det er mennesker som skal lave det.

Spiderboy (6) skrev:
Eller skifte til et mindre arkæisk programmeringssprog/library, som gør det automatisk?


Der er masser af muligheder.

Men prisskiltet er pebret.

Hvis jeg skulle gætte på hvad det ville koste at reimplementere hele Windows (undtaget kernen) i f.eks. C#:
10 år
10000-20000 man years
2-4 B$
Gravatar #9 - Daniel-Dane
5. jan. 2011 18:25
Mon ikke Windows 9-10 stykker bliver skrevet i C# (undtagen kernen, som skrives i PHP)?
Gravatar #10 - caffery
5. jan. 2011 19:14
#1, inspireret af en nylig udmelding fra Apple ville det sjovt nok lyde som en sandsynlig udmelding Apple ville have kommet med hvis fejlen var blevet opdaget i OSX ;-) Eller måske nærmere: "fejlen udbedrer sig selv automatisk om x antal dage" :)

Gravatar #11 - Nielson
5. jan. 2011 22:32
caffery (10) skrev:
#1, inspireret af en nylig udmelding fra Apple ville det sjovt nok lyde som en sandsynlig udmelding Apple ville have kommet med hvis fejlen var blevet opdaget i OSX ;-) Eller måske nærmere: "fejlen udbedrer sig selv automatisk om x antal dage" :)


Ej, det er bare totalt Apple agtigt at køre den over på andre producenter. Troede bedre om dig Caffy ;)
Gravatar #12 - arne_v
17. jan. 2011 02:06
Daniel-Dane (9) skrev:
Mon ikke Windows 9-10 stykker bliver skrevet i C#


MS har jo researched lidt udi den slags.

Men problemet er hvis de skal understøtte X millioner apps baseret på Win32 API, MFC, ATL, COM etc..

Så er der ikke så meget vundet. Fordi alt det må formodes at være mange gange større end selve OS kernen.
Gravatar #13 - Windcape
17. jan. 2011 02:09
Spiderboy (6) skrev:
Suk... lærer folk ikke snart at tjekke sine bufferstørrelser? Eller skifte til et mindre arkæisk programmeringssprog/library, som gør det automatisk?
Man checker often ikke bufferstørrelser i renderingsbiblioteker, da hvert check er rigtig dyrt i performance.

Hvis man ikke umiddelbart kan udnytte det til et exploit, så er der ingen grund til at checke.

(Derudover er jeg mere bekymret for lign. fejl i min browser, end i mit OS)
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login