This is a machine translation. The original page (in English) is available here.
Windows
Mac OS
Mobile

Dernières nouvelles: 19 septembre 2016 - Nous avons ajouté de nouvelles catégories pour le suivi des tests de produits: Microphone et la Webcam Enregistrement, etc... Flux RSS

Accueil>news du Monde>des Chercheurs taire à propos de Microsoft rush patchs

AnyKeylogger pour Mac

Les chercheurs taire à propos de Microsoft rush patchs

Microsoft Corp a chuté d'un cône de silence sur plusieurs chercheurs en sécurité qui ont récemment divulgué les détails de la vulnérabilité que la société patch plus tard aujourd'hui avec une paire d'urgence mises à jour.

Hier, les experts en sécurité impliqués avec deux lignes distinctes de la recherche a refusé de commenter davantage sur les résultats qu'ils avaient déjà publié, indiquant ou laissant entendre qu'ils ont de le faire à la demande de Microsoft.

La pratique est certainement inhabituel, a déclaré un chercheur qui n'a pas été impliqué dans l'enquête. "Il n'est pas rare pour les vendeurs de demander à des chercheurs pour retenir l'information," a déclaré Andrew Tempêtes, directeur des opérations de sécurité à nCircle la Sécurité du Réseau. "Mais c'est plus comme un accord tacite, lorsque le vendeur a dit," Ici est la date à laquelle nous allons patch et, après que vous pouvez divulguer tout ce que vous voulez.'"

Lors de la conférence sur la sécurité Black Hat mercredi, Ryan Smith, Mark Dowd et David Dewey sont prévues pour montrer comment contourner le "kill bit" mécanisme que Microsoft déploie fréquemment à l'arrêt buggy des contrôles ActiveX. La société a utilisé la technique du 14 juillet pour désactiver un site de vidéos en streaming contrôle ActiveX utilisé par Internet Explorer (IE) parce qu'il n'était pas en mesure d'patch le problème sous-jacent dans le temps.

Smith est une vulnérabilité chercheur à VeriSign iDefense, tandis que Dowd et Dewey, à la fois travailler pour IBM Internet Security du Système X-Force.

Bien que Smith a déjà posté une vidéo qui démontre qu'il, Dowd et Dewey ont été en mesure d'exploiter un kill-bit copie de IE, Smith a dit hier qu'il ne pouvait pas répondre à des questions au sujet de leur recherche ou de confirmer qu'il avait incité Microsoft à sortir de sa "hors cycle" patchs.

"Il y a actuellement un tiercé de style embargo sur mon partage de l'information," Smith a dit dans un e-mail. "Maintenant, tout ce que je suis autorisé à dire, c'est que nous avons travaillé avec Microsoft, et la mise à jour seront publiées demain va répondre à certaines des questions à [couvert] dans notre discours , mercredi, à 3 h 15, PT."

Smith a dit que la levée de l'embargo, une fois Microsoft problèmes les correctifs d'urgence.

Allemand chercheur en sécurité Dennis Elser également refusé hier de répondre à des questions au sujet de la recherche il et Thomas Dullien, le chef de la direction et responsable de la recherche à Zynamics GmbH, ont publié en prétendant que les vulnérabilités d'être patché existent aujourd'hui dans plusieurs éléments critiques de Windows et un nombre inconnu d'applications tierces.

Dullien, en vertu de son chercheur surnom de "Halvar Flake", d'abord publié de détails de leur travail sur 9 juillet, une semaine avant que Microsoft a livré le kill-bit mise à jour de paralyser l'imparfait contrôle ActiveX.

Selon Elser, Dullien a demandé à Microsoft de s'abstenir de faire des commentaires sur ce que les deux avaient trouvé, et il prend la même voie. Cependant, il était prêt à spéculer sur ce que la demande de Microsoft voulait dire. "Le fait qu'ils ont demandé Halvar [Flocons] de ne pas commenter davantage, en plus de ses deux derniers articles du blog sont une preuve suffisante, au moins pour moi, à supposer qu'ils vont le patch de la vulnérabilité au sein ATL (le msvidctl.dll question) [aujourd'hui]", a déclaré Elser, dans un e-mail hier.

Selon Dullien et Elser, Microsoft kill-bit solution n'est pas suffisante, car une erreur de programmation dans un code "bibliothèque" Active Template Library (ATL) a entraîné des vulnérabilités dans d'autres crucial de fichiers de Windows, et peut-être les applications de tierce partie dont les développeurs ont également utilisé ATL. Ils ont compté au moins cinq de ces fichiers dans Windows XP et au moins 13 dans Vista.

"Le bug est en fait beaucoup" plus loin " que la plupart des gens à réaliser, [et] les kill bits correctif est clairement insuffisant, car il y a certainement beaucoup d'autres façons de déclencher la question," Dullien, a déclaré dans son 9 juillet post.

Il est possible que les deux lignes de recherche sont liés. Comme Robert McMillan de l'IDG News Service faille critique dans le Système des noms de Domaine (DNS) logiciel utilisé pour diriger le trafic sur l'Internet. "Qui a été gardé secret, mais plusieurs personnes deviné avant il y avait un patch prêt, donc il y avait des rappels amicaux [les chercheurs] pour arrêter d'en discuter publiquement," les Tempêtes dit.

Microsoft publiera l'extérieur de la bande de mises à jour aujourd'hui pour IE et Visual Studio via son habituelle mise à Jour de Windows et Windows Server Update Services (WSUS) mécanismes d'environ 1 h, HE.

Plus tard aujourd'hui, à 4 h et 7 h (HE), Microsoft sera l'hôte d'une webémission pour prendre les questions des clients. Généralement, Microsoft héberge ces webcasts le jour d'après il fournit des correctifs.
Accueil>news du Monde>des Chercheurs taire à propos de Microsoft rush patchs
IMPORTANT! L'installation de l'ordinateur à des outils de surveillance sur les ordinateurs que vous ne possédez pas ou n'avez pas la permission de suivre peuvent violer locales, de l'état ou la loi fédérale.
Suggest translation