Video: SHELLSHOCK the MOVIE: The SUPERBALL! (Part 4) (Lokakuu 2024)
Kaikkia kriittisiä haavoittuvuuksia ei tarvitse verrata Heartbleediin, jotta niitä voidaan ottaa vakavasti. Itse asiassa ei ole syytä tuoda esiin Heartbleed- tai Shellshock-ohjelmia, kun on uusi ohjelmistovirhe, joka vaatii välitöntä huomiota.
Viime viikolla Microsoft hajotti vakavan haavoittuvuuden SChanneliin (Secure Channel), joka on ollut olemassa kaikissa Windows-käyttöjärjestelmän versioissa Windows 95: n jälkeen. IBM: n tutkija ilmoitti virheestä Microsoftille toukokuussa, ja Microsoft korjasi ongelman marraskuun aikana. Päivitä tiistaina -julkaisu.
IBM: n tutkija Robert Freeman kuvaili haavoittuvuutta "harvinaiseksi", yksisarvisen kaltaiseksi "virheeksi".
Käyttäjien on suoritettava Windows Update tietokoneillaan (jos se on asetettu toimimaan automaattisesti, sitä parempi) ja järjestelmänvalvojien tulisi priorisoida tämä korjaustiedosto. Joissakin kokoonpanoissa voi olla ongelmia korjaustiedoston kanssa, ja Microsoft on julkaissut kiertotavan kyseisille järjestelmille. Kaikesta huolehditaan, eikö niin?
FUD korvaa ruma päänsä
No, ei aivan. Tosiasia on, että - seitsemän kuukautta myöhemmin! - ei-triviaali määrä tietokoneita, joissa on edelleen Windows XP huolimatta siitä, että Microsoft lopetti tuen huhtikuussa. Joten XP-koneet ovat edelleen vaarassa etäkoodin suorittamishyökkäyksille, jos käyttäjä käy boobo-loukussa olevalla verkkosivustolla. Mutta pääosin tarina on sama kuin se on ollut joka kuukausi: Microsoft korjaa kriittisen haavoittuvuuden ja julkaisi korjaustiedoston. Korjaa tiistainalanne normaalisti.
Ennen kuin se ei ollut. Ehkä tietoturva-ammattilaiset ovat nyt niin ahneita, että heidän mielestään on myytävä pelko koko ajan. Ehkä se, että tämä haavoittuvuus otettiin käyttöön Windows-koodissa 19 vuotta sitten, laukaisi jonkinlaisen sydämen palautuksen. Tai olemme päässeet pisteeseen, jossa sensaatio on normi.
Mutta hämmästyin nähdessään seuraavan maan postilaatikossani Tripwiren tietoturvatutkijalta Craig Youngilta, joka koski Microsoftin korjaustiedostoa: "Heartbleed oli vähemmän tehokas kuin MS14-066, koska se oli" vain "tiedon paljastamiseen liittyvä virhe ja Shellshock oli etäkäytettävissä vain vaikutusalaan kuuluvien järjestelmien osajoukossa."
Siitä on tullut vitsi - surullinen, jos ajattelet sitä - että jokaiselle haavoittuvuudelle, jotta saisimme kaikenlaista huomiota, meillä on nyt oltava hieno nimi ja logo. Ehkä seuraavassa on puhallinsoitto ja tarttuva ääni. Jos tarvitsemme näitä ansoja saadaksemme ihmiset ottamaan tietoturvan vakavasti, niin on ongelma, eikä se ole itse vika. Olemmeko päässeet siihen pisteeseen, että ainoa tapa kiinnittää huomiota turvallisuuteen on turvautua temppuihin ja sensaatioon?
Vastuullinen turvallisuus
Pidin seuraavista: "Tämä on erittäin vakava virhe, joka on korjattava heti. Onneksi Microsoftin alustapäivityksen ekosysteemi tarjoaa jokaiselle asiakkaalle mahdollisuuden korjata tämä haavoittuvuus tunneissa Microsoft Update -sovelluksen avulla", sanoi Philip Lieberman, Lieberman-ohjelmisto.
Älä ymmärrä minua väärin. Olen iloinen, että Heartbleed sai huomionsa, koska se oli vakava ja sitä tarvitaan laaja-alaisten vaikutusten vuoksi tavoittamaan infosec-yhteisön ulkopuoliset ihmiset. Ja Shellshockin nimi - mitä voin kertoa - tuli Twitter-keskustelussa, jossa keskusteltiin virheestä ja tapoista testata se. SChannelin haavoittuvuutta ei kuitenkaan tarvitse kutsua "WinShockiksi" tai keskustella sen vakavuudesta näiden puutteiden suhteen.
Se voi ja sen pitäisi seisoa yksinään.
"Tämä haavoittuvuus aiheuttaa vakavan teoreettisen riskin organisaatioille, ja se tulisi korjata mahdollisimman pian, mutta sillä ei ole samanlaista vapautumisaikaa kuin monilla muilla äskettäin hyvin julkistetuilla haavoittuvuuksilla", tietoturvan varapuheenjohtaja Josh Feinblum. klo Rapid7, kirjoitti blogiviestissä.
Lieberman teki mielenkiintoisen havainnon, huomauttaen, että SChannel-haavoittuvuus ei ollut kuin Heartbleed, koska ei ole niin, kuin jokaisen avoimen lähdekoodin toimittajan tai asiakasohjelmiston olisi pitänyt korjata ongelma ja vapauttaa oma korjaustiedosto. Kaupalliset ohjelmistot, joilla on määritellyt korjaustiedostojen toimittamismekanismit, kuten Microsoftin käytössä, tarkoittaa, että ei tarvitse huolehtia "versioiden komponenttien riipusta tai korjausohjelmien skenaarioista".
Ei ole väliä onko sen hyödyntäminen vaikeaa (sanoo IBM) vai triviaalia (sanoo iSight Partners). Verkkokeskustelu osoittaa, että tämä on vain jäävuoren huippu, ja SChannel-haavoittuvuus voi aiheuttaa valtavan sotkun. Se on vakava virhe. Puhutaanpa asiasta sellaisenaan ilman turvautumista taktikoihin.
