Видео: ÐÑÑваемÑо-мÑÑл-мÑÑо (Ноябрь 2024)
Не каждую критическую уязвимость нужно сравнивать с Heartbleed, чтобы воспринимать ее всерьез. На самом деле, нет необходимости поднимать Heartbleed или Shellshock, когда есть новый программный недостаток, который требует немедленного внимания.
На прошлой неделе Microsoft исправила серьезную уязвимость в SChannel (Secure Channel), которая существовала в каждой версии операционной системы Windows начиная с Windows 95. Исследователь IBM сообщил об ошибке в мае в Microsoft, и Microsoft исправила эту проблему в рамках своего ноября. Патч вторника выпуска.
Исследователь IBM Роберт Фриман описал уязвимость как «редкую, « единороговую »ошибку».
Пользователи должны запускать Центр обновления Windows на своих компьютерах (если он настроен на автоматический запуск, тем лучше), и администраторы должны установить приоритет этого патча. Некоторые конфигурации могут иметь проблемы с патчем, и Microsoft выпустила обходной путь для этих систем. Все позаботились, верно?
FUD поднимает свою уродливую голову
Ну, не совсем. Дело в том, что семь месяцев спустя нетривиальное число компьютеров, на которых все еще работает Windows XP, несмотря на то, что Microsoft прекратила поддержку еще в апреле. Таким образом, компьютеры XP по-прежнему подвержены риску атаки с удаленным выполнением кода, если пользователь заходит на заминированный веб-сайт. Но по большей части история такая же, как и каждый месяц: Microsoft исправила критическую уязвимость и выпустила патч. Патч вторник бизнес как обычно.
Пока этого не было. Возможно, специалисты по информационной безопасности сейчас настолько измучены, что думают, что им приходится все время продавать страх. Возможно, тот факт, что эта уязвимость была введена в код Windows 19 лет назад, вызвал что-то вроде Heartbleed-воспоминания. Или мы дошли до того, что сенсация является нормой.
Но я был озадачен, увидев следующую землю в моем почтовом ящике от Крейга Янга, исследователя безопасности с Tripwire, относительно патча Microsoft: «Heartbleed был менее мощным, чем MS14-066, потому что это была« просто »ошибка раскрытия информации, а Shellshock был удаленно используется только в подмножестве уязвимых систем."
Это стало шуткой - грустной, если подумать - что для того, чтобы любая уязвимость могла привлечь к себе какое-либо внимание, нам теперь нужно иметь причудливое имя и логотип. Возможно, у следующего будет духовой оркестр и звонкий звон. Если нам нужны эти атрибуты, чтобы заставить людей серьезно относиться к информационной безопасности, то есть проблема, и это не сама ошибка. Дошли ли мы до того, что единственный способ привлечь внимание к безопасности - прибегнуть к уловкам и сенсациям?
Ответственная безопасность
Мне понравилось следующее: «Это очень серьезная ошибка, которая должна быть исправлена немедленно. К счастью, экосистема обновления платформы Microsoft дает возможность каждому клиенту в течение нескольких часов исправлять эту уязвимость с помощью Центра обновления Майкрософт», - сказал Филипп Либерман, президент Программное обеспечение Либерман.
Не пойми меня неправильно. Я рад, что Heartbleed привлек внимание, которое он оказал, потому что он был серьезным и нуждался в том, чтобы охватить людей, не входящих в информационное сообщество, из-за его широкого воздействия. И имя Шеллшока - насколько я могу судить - появилось в разговоре в Твиттере, в котором обсуждались недостатки и способы их проверки. Но нет необходимости называть уязвимость SChannel «WinShock» или обсуждать ее серьезность в отношении этих недостатков.
Он может и должен стоять самостоятельно.
«Эта уязвимость представляет серьезный теоретический риск для организаций и должна быть исправлена как можно скорее, но она не оказывает такого же влияния на время выпуска, как многие другие недавно широко известные уязвимости», - сказал Джош Файнблум, вице-президент по информационной безопасности. на Rapid7, написал в блоге.
Либерман сделал интересное наблюдение, отметив, что уязвимость SChannel не похожа на Heartbleed, поскольку не каждый поставщик открытого ПО или клиентское программное обеспечение должны были решить проблему и выпустить свой собственный патч. Коммерческое программное обеспечение с определенными механизмами доставки исправлений, такими как то, что имеет Microsoft, означает, что нет необходимости беспокоиться о «мешанине компонентов различных версий и сценариев исправлений».
Неважно, использовать это сложно (говорит IBM) или тривиально (говорит iSight Partners). Онлайн-болтовня говорит о том, что это всего лишь верхушка айсберга, а уязвимость SChannel может создать огромный беспорядок. Это серьезная ошибка. Давайте поговорим о проблеме по существу, не прибегая к тактике страха.