Gyurkity Péter

Nem ért egyet a biztonsági hibákat illusztráló cégekkel a Microsoft

A szoftveróriás a Windows operációs rendszer legutóbbi javításainak mielőbbi telepítésére hívta fel a felhasználók figyelmét, miután számos cég a hibákat illusztráló programokról rántotta le a leplet.

A vállalat weboldalán közzétett felhívás a Finjan Software és a Core Security Technologies által készített példaprogramokat is tartalmazza, amelyek kellőképpen illusztrálják a biztonsági hibák kihasználásának módját. Jóllehet a Microsoft szóvivője korábban kijelentette, hogy támogatják az úgynevezett proof-of-concept vírusok megjelentetését, most mégis kérdőre vonták a két vállalatot, amiért mindössze néhány órával a kérdéses javítások után közzétették a vírusokat. "A Microsoft továbbra is támogatja a biztonsági hibák felelősségteljes nyilvánosságra hozatalát, mivel ez egy igen hatékony módszer a hibák felderítésére és kiszűrésére. Ugyanakkor nyilvánvaló, hogy a példaprogramok ilyen korai megjelenése felesleges kockázatnak tette ki a felhasználókat, és megnövelte a sikeres támadások esélyét" - áll a szoftveróriás közleményében.

Állításuk szerint nem sokkal azután, hogy a Core közzétette példaprogramját, egy ismeretlen személy módosította a kódot, és ily módon valós veszéllyel fenyegető kártevőt hozott létre. A vállalat ezzel egy időben a Finjan vezetését is kritizálta, amiért a javítások megjelenésének napján illusztrálták az Office XP irodai szoftvercsomagban megbúvó biztonsági rést. A Microsoft szerint a két biztonsági cég megsértette a vállalatok közötti íratlan törvényt, miszerint csak egy bizonyos idő elteltével hozzák nyilvánosságra a felhasználókat veszélyeztető hibákat. Ennek betartásával ugyanis a vásárlók időt nyernek a szükséges javítások letöltésére és telepítésére, még mielőtt megjelennének az első kártevők.

Shlomo Touboul, a Finjan vezérigazgatója azonban megvédte cégét, és kijelentette, hogy a felhasználóknak tudniuk kell, milyen veszélyek leselkednek a védtelen számítógépekre. "A felhasználóknak időben értesülniük kell a lehetséges problémákról - enélkül nagy részük nem fordítana kellő figyelmet a kérdésre" - jelentette ki Touboul. "Véleményem szerint nem arról van szó, hogy feleslegesen pánikot keltünk - mi mindössze tájékoztatunk."

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Hegyikecske #22
    Szerinteme tök igaza van a cégeknek akik nyilvánosságra hozták... Vmelyik előzményébe olvastam h. előtte figyelmeztették a Ms-t a feldedezett hibákról, de az nem volt hajlandó javítani őket... Ekkor fordultak a nyuilvánossághoz, és itt már muszáj volt kijavítani mégis a hibákat.. anélkül csak idő kérdése lett volna, így pedig innentől már csak a Ms a hibás a dolgokért
  • yvorl #21
    Hát, ahogy látom lehet ellenezni a proof of conceptet, de még maga az ms sem teszi ezt, ők is elismerik hogy hasznos, vagy legalábbis nincsenek nyíltan ellene :)
  • whitehawk #20
    A proof of concept nem ellenség. Mindenhol megtalálható. Pl Linux hackerek is írnak ilyet, ha hibát találnak. Az MS meg persze csendben keresi a hibákat, hát ez vicc. Elmondom, h előbb talál hibát valaki a neten mint az MSnél. 2 okból 1. az MSnek csak pénzkidobás hibát keresni, és úgyse jutnak előre, mert mindig lesz új.. És ezáltal gyakorlatilag haszontalan. 2. Akik keresgélik őket az MSen kívül azok többen vannak. A másik emlékszel-e a fél év 1 év után kijavított hibákra. Szerinted hogy javít az MS a felhasználók számára ismeretlen hibát, ha az ismertekkel se mindig törődik.
  • Zoldalma #19
    Nem feltetlen, lehet h a merettel egyutt exponencialisan no a kodban talalhato hibak szama.
  • headshot #18
    Azért egyvalamit nem kell elfelejteni.... a 5MB frissítésben könnyebb hibát keresni mint egy 1GB ban..
  • s1lkforrent #17
    "proof-of-concept vírusok" Aha, meg bizonyos biztonsági cégek k*a a*ját! Lehet, hogy ha ilyen kezdeményezések nem lennének, az MS csak ülne a picsáján és sunyiba fedeznék fel a windowsok hibáit és használnák azokat ki, de mégsem kellene a net söpredéke alá adni a lovat a példaprogramok megírásával(persze gondolom vigyorogva mellékelik hozzá a forrást is). Már ide hallom hogy a haladó vírusíró a fejére csap: -Bazz, ezt a lyukat nem is vettem észre, nem baj, részletes leírást is kapok a kihasználásához. Hadd tartozzon már ez a dolog a Microsoftra, és kussba irjon a felfedezett hibához javítást, de ne tudja ezt a hibát már egy kezdő vírusíró is kihasználni, mielőtt elkészülhetne hozzá a javítás.
    Helyzet: Felhív a szomszéd a munkahelyemen: szar a zár a bejárati ajtón. Nem gáz, délután hazamegyek megcsinálom, úgyse próbálkozna senki(hiszen senki nem tud róla), vagy ha mégis, beszoptam. A gáz az, hogy éppen a lépcsőházból mobilról hívott, a szavai végig visszhangoztak a lépcsőházon, a földszinten egy kocsma van, és neki is munkába kell mennie.
  • yvorl #16
    Végtére is az ms támogatja ezeknek a példáknak a megjelentetését, csak az a bajuk hogy korán jött ki, ha meg valaki nem rakja fel a javítást...
  • stratoman #15
    Főleg akor nem 100%-ig biztos, ha fel sem rakják a javítást. Rengetegen nem rakják fel azonnal a megjelent javításokat. Az meg szinte biztos, hogy sok olyan f@sz van, aki ezeket a megjelent példákat arra fogja használni, hogy elárasszák vírusokkal a világot.
    Sokan még az anyjukat is magukévá tennék -hogy finoman fogalmazzak- ezért.
  • blackeagle #14
    Annál igen ,hogy m$-t használjak .
  • yvorl #13
    De akkor meg ha később jelentetik meg az illusztrációt akkor is ugyanott tartanak nem? Hisz 100%-ig semmilyen javítás nem biztos.