This is a machine translation. The original page (in English) is available here.
Windows
Mac OS
Mobile

Ultime notizie: 12 novembre, 2016 - Abbiamo trovato un nuovo non rilevabile Registratore di tasti per voi. Feed RSS

Home>notizie dal Mondo>i Ricercatori clam up su Microsoft rush patch

AnyKeylogger per Mac

I ricercatori clam up su Microsoft rush patch

Microsoft Corp. ha lasciato cadere un cono di silenzio nel corso di diversi ricercatori di sicurezza che si sono di recente diffusi i dettagli della vulnerabilità che l'azienda la patch di oggi, con un paio di aggiornamenti di emergenza.

Ieri, gli esperti di sicurezza coinvolti con due distinte linee di ricerca, ha rifiutato di commentare ulteriormente sui risultati che avevo già pubblicato, dicendo: "o suggerendo che essi sono stati così facendo, su richiesta di Microsoft.

La pratica è certamente insolito, ha detto un ricercatore che non è stato coinvolto nelle indagini. "Non è raro per i venditori per chiedere ai ricercatori di trattenere le informazioni," ha detto Andrew Storms, direttore delle operazioni di sicurezza a nCircle di Sicurezza di Rete. "Ma è più un "gentlemen's agreement", in cui il venditore dice: 'Ecco la data che ti patch e dopo di che si può rivelare ciò che si vuole.'"

Al Black Hat security conference on mercoledì, Ryan Smith, Mark Dowd e David Dewey sono in programma per mostrare come aggirare il "kill bit" meccanismo che Microsoft frequentemente viene arrestato buggy controlli ActiveX. L'azienda ha utilizzato la tecnica del 14 luglio a disabilitare uno streaming video controllo ActiveX utilizzato da Internet Explorer (IE), perché non era in grado di patch il problema di fondo nel tempo.

Smith è una vulnerabilità ricercatore presso VeriSign iDefense, mentre Dowd e Dewey, sia il lavoro per IBM Internet Security System X-Force.

Anche se Smith ha già pubblicato un video che dimostra che egli, Dowd e Dewey, sono stati in grado di sfruttare un kill bit copia di IE, Smith ha detto che ieri non riusciva a rispondere a domande circa la loro attività di ricerca o di confermare che aveva chiesto a Microsoft di correre il suo "out-of-cycle" patch.

"Attualmente c'è una triade in stile embargo sul mio condivisione di informazioni," Smith ha detto in una e-mail. "Al momento mi sono permesso di dire è che stiamo lavorando con Microsoft, e che l'aggiornamento venga rilasciato domani per affrontare alcune delle questioni da [coperto] nel nostro discorso il mercoledì alle 3:15 PT."

Smith ha detto che l'embargo sarebbe alzato una volta che Microsoft rilascia la patch di emergenza.

Tedesco ricercatore di sicurezza Dennis Elser anche rifiutato ieri di rispondere a domande circa le ricerche e Thomas Dullien, l'amministratore delegato e direttore della ricerca presso Zynamics GmbH, hanno pubblicato sostenendo che la vulnerabilità di essere patchato oggi esistono in diversi componenti critici di Windows e un numero imprecisato di applicazioni di terze parti.

Dullien, sotto la sua ricercatore moniker di "Alver Flake," primo posted dettagli del loro lavoro, il 9 luglio, una settimana prima che Microsoft consegnato il kill bit di aggiornamento per paralizzare l'imperfetto controllo ActiveX.

Secondo Elser, Dullien è stato chiesto da parte di Microsoft di astenersi dal commentare quello che i due avevano trovato, e stava facendo la stessa aderenza. Tuttavia, egli era disposto a speculare su quello che richiesta di Microsoft intende. "Il fatto che hanno chiesto Alver [Flake] per non commento ulteriormente, più i suoi due ultimi post del blog sono una prova sufficiente, almeno per me, si supponga che si sta andando per la patch di vulnerabilità all'interno di ATL (il msvidctl.dll problema) [oggi]," ha detto Elser in una e-mail di ieri.

Secondo Dullien e Elser, Microsoft kill bit soluzione non era sufficiente, dal momento che un errore di programmazione in codice "biblioteca", chiamato Active Template Library (ATL) aveva portato in alcune vulnerabilità in altri importanti file di Windows, e forse le applicazioni di terze parti i cui sviluppatori hanno anche utilizzato ATL. Hanno contato almeno cinque di tali file in Windows XP e almeno 13 in Vista.

"Il bug è in realtà molto a fondo di quanto si creda, [e] il kill bit correzione è chiaramente insufficiente, in quanto ci sono tenuti ad essere molti altri modi per attivare il problema," Dullien, ha detto nel suo 9 luglio post.

È possibile che le due linee di ricerca sono relative. Come Robert McMillan di IDG News Service difetto fondamentale nel Domain Name System (DNS), software utilizzato per indirizzare il traffico su Internet. "Che è stato tenuto segreto, ma diverse persone indovinato prima c'era una patch pronta, quindi non c'era amichevole promemoria [per quei ricercatori] per interrompere discutere pubblicamente," Tempesta", ha detto.

Microsoft rilascerà l'out-of-band aggiornamenti di oggi per IE e Visual Studio tramite il suo consueto Aggiornamento di Windows e Windows Server Update Services (WSUS) meccanismi di circa 1 p.m. ET.

Più tardi oggi sia a 4 ore e 7 pm ET, Microsoft terrà un webcast per prendere le domande del cliente. In genere, i padroni di casa Microsoft, ad webcast il giorno dopo che fornisce le patch.
Home>notizie dal Mondo>i Ricercatori clam up su Microsoft rush patch
IMPORTANTE! Computer di installazione di strumenti di monitoraggio sui computer che non possiedono o non hai il permesso di monitorare può violare locali, statali o federali.
Suggest translation