Microsoft łata lukę w Telnecie i problemy zgłoszone przez Google

Microsoft łata lukę w Telnecie i problemy zgłoszone przez Google

Microsoft łata lukę w Telnecie i problemy zgłoszone przez Google
Redakcja
14.01.2015 09:50, aktualizacja: 14.01.2015 10:48

Microsoft właśnie wydał najnowsze łatki dla systemu Windows i innego swojego oprogramowania, które zdecydowanie zalecamy zainstalować – wśród nich znajduje się paczka, która łata bardzo poważną dziurę bezpieczeństwa typu 0-day odkrytą, a następnie upublicznioną przez specjalistów z Google.

Najnowsze wtorkowe aktualizacje to łącznie osiem poprawek bezpieczeństwa, jedna oznaczona jako krytyczna, inne jako ważne. Pierwsza oznaczona jako MS15-002 dotyczy możliwości wysłania do serwera Telnet spreparowanych pakietów, które pozwolą na ominięcie zabezpieczeń i zdalne wykonanie niebezpiecznego kodu. W efekcie możliwe jest nie tylko podwyższenie uprawnień, ale np. wykonanie ataku typu denial of service. Problem jest bardzo poważny, z drugiej strony dotyczy niewielu użytkowników, bo o ile Telnet znajdziemy w np. Windows Server 2003 czy Windows Vista i nowszych wersjach systemu, o tyle jest on w nich domyślnie wyłączony.

W ostatnim czasie głośną sprawą okazała się luka 0-day odkryta przez pracowników Google w ramach ich grupy Projekt Zero, która zajmuje się wyszukiwaniem podatności w oprogramowaniu firm trzecich. Zasady przez nią przyjęte są bardzo restrykcyjne: znalezione błędy zagrażające bezpieczeństwu są zgłaszane producentowi, a jeżeli nie wyda on stosownej łatki w przeciągu 90 dni od momentu ich odkrycia, problem zostanie pokazany publicznie. Właśnie tak było tym razem, za co zresztą Microsoft poważnie Google skrytykował – według Christa Betza z Microsoft Security Response Center firma Google została powiadomiona, że łatka jest opracowywana i poproszono ją o niepublikowanie informacji na temat tego zagrożenia.

Obraz

Trudno w tej sprawie wydać jednoznaczny wyrok – z jednej strony 90 dni to bardzo dużo jak na zagrożenie o wysokim poziomie ryzyka (przypominamy, że przez tę podatność można w sposób nieautoryzowany uruchamiać własne procesy z uprawnieniami administratora), z drugiej natomiast, takie problemy wymagają często wiele czasu i pracy, a tymczasem Google nie słynie ze specjalnej elastyczności i współpracy z firmami, którym zgłasza błędy. Można więc przyjąć, że w tym przypadku nieroztropne jest działanie obu tych firm. Najważniejsze, że Microsoft dzięki temu ogłoszeniu jednak na problem zareagował i wydał poprawki oznaczone jako MS15-001 i MS15-003, które go usuwają.

Pozostałe poprawki dotyczą błędów, które nie zostały już upublicznione. Paczka MS15-005 jest związana z błędem w podsystemie Network Location Awareness, inna oznaczona jako MS15-006 łata lukę w tak lubianym przez użytkowników systemowym mechanizmie zgłaszania błędów, a MS15-007 odpowiada za poprawienie bezpieczeństwa komponentu Network Policy Server. Pozostałe dwie paczki MS15-004 i MS15-008 są z kolei odpowiedzialne za poprawki w innych składnikach systemu, oraz zintegrowanych w nim sterownikach. Co ciekawe, tym razem nie spotkamy się z wieloma poprawami dla Internet Explorera – za dziewięć luk bezpieczeństwa odpowiada Adobe i jego oprogramowanie Flash Player oraz środowisko uruchomieniowe AIR. Odpowiednia poprawka jest już dostępna i łata Flasha wbudowanego w przeglądarki IE10 i IE11.

Przy okazji wydania nowych biuletynów zabezpieczeń warto przypomnieć, że Microsoft w ostatnim czasie postanowił diametralnie zmienić politykę udostępniania informacji na ich temat. Do tej pory zapowiedzi przyszłych łatek były publikowane z kilkudniowym wyprzedzeniem w ramach usługi Advance Notification Service (ANS) i pozwalała na dokładne zapoznanie się z tym, co takiego odkryto w systemie. Od początku stycznia wygląda to jednak inaczej i dostęp do zapowiedzi otrzymują jedynie osoby i organizacje, które za to zapłacą np. w ramach Microsoft Active Protections Program. Zaciemnia to jakość oprogramowania tworzonego przez Microsoft, ale domowi użytkownicy i tak nie są w stanie nic z tym zrobić, jedynie zwrócić swój wzrok w kierunku innych, alternatywnych rozwiązań.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (38)