Microsoft łata lukę w Telnecie i problemy zgłoszone przez Google

Microsoft łata lukę w Telnecie i problemy zgłoszone przez Google14.01.2015 09:50
Redakcja

Microsoft właśnie wydał najnowsze łatki dla systemu Windows i innego swojego oprogramowania, które zdecydowanie zalecamy zainstalować – wśród nich znajduje się paczka, która łata bardzo poważną dziurę bezpieczeństwa typu 0-day odkrytą, a następnie upublicznioną przez specjalistów z Google.

Najnowsze wtorkowe aktualizacje to łącznie osiem poprawek bezpieczeństwa, jedna oznaczona jako krytyczna, inne jako ważne. Pierwsza oznaczona jako MS15-002 dotyczy możliwości wysłania do serwera Telnet spreparowanych pakietów, które pozwolą na ominięcie zabezpieczeń i zdalne wykonanie niebezpiecznego kodu. W efekcie możliwe jest nie tylko podwyższenie uprawnień, ale np. wykonanie ataku typu denial of service. Problem jest bardzo poważny, z drugiej strony dotyczy niewielu użytkowników, bo o ile Telnet znajdziemy w np. Windows Server 2003 czy Windows Vista i nowszych wersjach systemu, o tyle jest on w nich domyślnie wyłączony.

W ostatnim czasie głośną sprawą okazała się luka 0-day odkryta przez pracowników Google w ramach ich grupy Projekt Zero, która zajmuje się wyszukiwaniem podatności w oprogramowaniu firm trzecich. Zasady przez nią przyjęte są bardzo restrykcyjne: znalezione błędy zagrażające bezpieczeństwu są zgłaszane producentowi, a jeżeli nie wyda on stosownej łatki w przeciągu 90 dni od momentu ich odkrycia, problem zostanie pokazany publicznie. Właśnie tak było tym razem, za co zresztą Microsoft poważnie Google skrytykował – według Christa Betza z Microsoft Security Response Center firma Google została powiadomiona, że łatka jest opracowywana i poproszono ją o niepublikowanie informacji na temat tego zagrożenia.

Trudno w tej sprawie wydać jednoznaczny wyrok – z jednej strony 90 dni to bardzo dużo jak na zagrożenie o wysokim poziomie ryzyka (przypominamy, że przez tę podatność można w sposób nieautoryzowany uruchamiać własne procesy z uprawnieniami administratora), z drugiej natomiast, takie problemy wymagają często wiele czasu i pracy, a tymczasem Google nie słynie ze specjalnej elastyczności i współpracy z firmami, którym zgłasza błędy. Można więc przyjąć, że w tym przypadku nieroztropne jest działanie obu tych firm. Najważniejsze, że Microsoft dzięki temu ogłoszeniu jednak na problem zareagował i wydał poprawki oznaczone jako MS15-001 i MS15-003, które go usuwają.

Pozostałe poprawki dotyczą błędów, które nie zostały już upublicznione. Paczka MS15-005 jest związana z błędem w podsystemie Network Location Awareness, inna oznaczona jako MS15-006 łata lukę w tak lubianym przez użytkowników systemowym mechanizmie zgłaszania błędów, a MS15-007 odpowiada za poprawienie bezpieczeństwa komponentu Network Policy Server. Pozostałe dwie paczki MS15-004 i MS15-008 są z kolei odpowiedzialne za poprawki w innych składnikach systemu, oraz zintegrowanych w nim sterownikach. Co ciekawe, tym razem nie spotkamy się z wieloma poprawami dla Internet Explorera – za dziewięć luk bezpieczeństwa odpowiada Adobe i jego oprogramowanie Flash Player oraz środowisko uruchomieniowe AIR. Odpowiednia poprawka jest już dostępna i łata Flasha wbudowanego w przeglądarki IE10 i IE11.

Przy okazji wydania nowych biuletynów zabezpieczeń warto przypomnieć, że Microsoft w ostatnim czasie postanowił diametralnie zmienić politykę udostępniania informacji na ich temat. Do tej pory zapowiedzi przyszłych łatek były publikowane z kilkudniowym wyprzedzeniem w ramach usługi Advance Notification Service (ANS) i pozwalała na dokładne zapoznanie się z tym, co takiego odkryto w systemie. Od początku stycznia wygląda to jednak inaczej i dostęp do zapowiedzi otrzymują jedynie osoby i organizacje, które za to zapłacą np. w ramach Microsoft Active Protections Program. Zaciemnia to jakość oprogramowania tworzonego przez Microsoft, ale domowi użytkownicy i tak nie są w stanie nic z tym zrobić, jedynie zwrócić swój wzrok w kierunku innych, alternatywnych rozwiązań.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na