У дома Securitywatch Спрете да сравнявате всеки критичен бъг със сърдечен, черупка

Спрете да сравнявате всеки критичен бъг със сърдечен, черупка

Видео: Heartbleed Exploit (Demo) (Ноември 2024)

Видео: Heartbleed Exploit (Demo) (Ноември 2024)
Anonim

Не всяка критична уязвимост трябва да се сравнява с Heartbleed, за да се вземе сериозно. Всъщност няма нужда да извеждате Heartbleed или Shellshock, когато има нов софтуерен недостатък, който изисква незабавно внимание.

Миналата седмица Microsoft закърпи сериозна уязвимост в SChannel (Secure Channel), която съществува във всяка версия на операционната система Windows от Windows 95. Изследовател на IBM докладва за грешката на Майкрософт през май и Microsoft отстрани проблема като част от ноември Patch вторник.

Изследователят на IBM Робърт Фрийман определи уязвимостта като „рядка грешка, подобна на еднорог“.

Потребителите трябва да стартират Windows Update на своите компютри (ако е настроено да се стартира автоматично, още по-добре) и администраторите трябва да дават приоритет на този пластир. Някои конфигурации може да имат проблеми с пластира и Microsoft пусна решение за тези системи. За всичко се грижи, нали?

FUD носи своята грозна глава

Е, не съвсем. Факт е, че има - седем месеца по-късно! - нетривиален брой компютри, които все още работят с Windows XP, въпреки че Microsoft приключи поддръжката си през април. Така че XP машините все още са изложени на опасност от атака за отдалечено изпълнение на код, ако потребителят посети уебсайт, попаднал в капан. Но в по-голямата си част историята е същата, както беше всеки месец: Microsoft отстрани критичната уязвимост и пусна патч. Patch вторник бизнес, както обикновено.

Докато не беше. Може би специалистите по информационна сигурност вече са толкова объркани, че смятат, че трябва да продават страх през цялото време. Може би фактът, че тази уязвимост е въведена в кода на Windows преди 19 години, задейства някакъв вид Heartbleed-flashback. Или стигнахме до момент, в който сензационализмът е норма.

Но бях изумен, след като видя следната земя във входящата си поща от Craig Young, изследовател по сигурността на Tripwire, по отношение на кръпката на Microsoft: „Heartbleed беше по-малко мощен от MS14-066, защото беше„ просто “грешка в разкриването на информация и Shellshock беше отдалечено използваем само в подмножество от засегнати системи."

Това се превърна в шега - тъжна, ако се замислите - че за всяка уязвимост, за да получим някакъв вид внимание, сега трябва да имаме модно име и лого. Може би следващият ще има духов оркестър и закачлив джингъл. Ако се нуждаем от тези пристрастия, за да накараме хората да вземат сериозно информационната сигурност, тогава има проблем и това не е самата грешка. Стигнахме ли дотам, че единственият начин да привлечем вниманието към сигурността е да прибягваме до измислици и сензационализъм?

Отговорна сигурност

Хареса ми следното: "Това е много сериозна грешка, която трябва да бъде лепенки незабавно. За щастие екосистемата за актуализация на платформата на Microsoft предоставя възможност на всеки клиент да бъде кръпка за тази уязвимост за часове, използвайки Microsoft Update", каза Филип Либерман, президент на Lieberman Software.

Не ме разбирайте погрешно. Радвам се, че Heartbleed получи вниманието, което направи, защото беше сериозно и необходимо да достигне до хора извън общността на инфосектите поради широкото му въздействие. И името на Shellshock - от това, което мога да кажа - излезе от разговор в Twitter, обсъждащ недостатъка и начините за неговото тестване. Но не е необходимо да наричаме уязвимостта на SChannel "WinShock" или да обсъждаме сериозността му във връзка с тези недостатъци.

Той може и трябва да стои самостоятелно.

„Тази уязвимост крие сериозен теоретичен риск за организациите и трябва да бъде закърпена възможно най-скоро, но няма същото въздействие върху времето на пускане, както много други наскоро силно публикувани уязвимости“, Джош Фейнблум, вицепрезидент по сигурността на информацията в Rapid7, пише в публикация в блога.

Либерман направи интересно наблюдение, отбелязвайки, че уязвимостта на SChannel не е като Heartbleed, тъй като не е така, ако всеки доставчик или софтуер за клиент с отворен код трябва да отстрани проблема и да пусне своя собствена лепенка. Търговският софтуер с дефинирани механизми за доставяне на кръпка, като това, което Microsoft има, означава, че не е необходимо да се притеснявате за „прекосяване на компоненти на различни версии и сценарии за кръпка“.

Няма значение дали е трудно (казва IBM) или тривиално (казва iSight Partners) да се експлоатира. Онлайн чатърът предполага, че това е само върхът на айсберга, а уязвимостта на SChannel има потенциал да създаде огромна бъркотия. Това е сериозна грешка. Нека да поговорим за проблема самостоятелно, без да прибягваме до тактиката на страха.

Спрете да сравнявате всеки критичен бъг със сърдечен, черупка