Microsoft: Kein TCP/IP-patches für Sie, XP
Die Nachricht fügt das Windows XP Service Pack 2 (SP2) und SP3 an den no-patch-Liste, die bisher nur Windows 2000 Server SP4.
"Wir reden über code, ist 12 bis 15 Jahre alt in seinen Ursprung, so Zurückportieren, dass die Ebene der code ist im Grunde nicht umsetzbar", sagte Sicherheits-Programm-manager Adrian Stein, während Microsoft ' s monthly post-patch-Webcast, bezieht sich auf Windows 2000 und XP.
"Ein update für Windows XP nicht zur Verfügung gestellt werden," Stein-und fellow-Programm-manager Jerry Bryant sagte, während der Q&A-Teil der Webcast (Transkript hier).
Am vergangenen Dienstag, Microsoft sagte, dass es nicht patchen Windows 2000, da das erstellen einer Update war "nicht machbar."
Die Fehler werden in der Windows-Implementierung von TCP/IP, Web Standard suite-Verbindung-Protokolle. Alle drei Schwachstellen wurden in den MS09-048 update gepatcht wurden in Vista und Server 2008. Nur zwei der trio auf Windows Server 2000 und Microsoft Windows XP, Microsoft sagte in der Begleitung und Beratung, die wurde aktualisiert am Donnerstag.
In der überarbeiteten Beratung, Microsoft, erklärt, warum es nicht patch Windows XP, das weltweit beliebteste Betriebssystem. "Standardmäßig, Windows XP SP2, Windows XP SP3 und Windows XP Professional x64 Edition SP2 nicht über eine listening-Dienst konfiguriert werden, in der client-firewall und sind daher nicht von dieser Sicherheitsanfälligkeit betroffen", erklärte das Unternehmen. "Windows XP SP2 und neuere Betriebssysteme beinhalten eine stateful-host-firewall, die bietet Schutz für Computer vor eingehenden Datenverkehr aus dem Internet oder aus dem benachbarten Netzwerk-Geräte in einem privaten Netzwerk."
Obwohl die zwei bugs die ausgenutzt werden können, die auf Windows 2000 und XP, Microsoft verharmlost Ihre Auswirkungen. "Ein system würde nicht mehr reagiert wegen Speicherverbrauch ... [aber] ein erfolgreicher Angriff erfordert eine anhaltende Flut von speziell gestalteter TCP-Pakete, und das system wird sich erholen, sobald die Flut zurückgeht."
Microsoft bewertet die Schwachstellen von Windows 2000 und XP als "wichtig" auf Windows 2000, und als "low" auf XP. Das Unternehmen verwendet eine vier-Schritt-scoring-system, wobei "low" ist die am wenigsten gefährliche Bedrohung, gefolgt in aufsteigender Reihenfolge von "moderate", "wichtig" und "kritisch"an.
Die gleichen zwei Fehler wurden rangiert die "moderaten" für Vista und Server 2008, während ein Dritter-die nicht auf den älteren Betriebssystemen, -- wurde als "kritisch"an.
Während der Q&A, aber Windows-Benutzer wiederholt aufgefordert, Microsoft security team, um zu erklären, warum es nicht patchen XP, oder wenn, in bestimmten Szenarien, Ihre Maschinen könnten in Gefahr sein. "Wir verwenden immer noch Windows XP, und wir verwenden Sie nicht die Windows-Firewall", Lesen Sie einen der user Fragen. "Wir verwenden einen Drittanbieter-firewall-Produkt. Selbst unter der Annahme, dass wir die Verwendung der Windows-Firewall, wenn es Dienstleistungen sind, hören, wie die remote-desktop nicht, dann Windows XP anfällig sind diese?"
"Server sind ein wahrscheinlicheres Ziel für diesen Angriff, und Ihre firewall bieten sollte, zusätzlicher Schutz gegen externe exploits", erwiderte Stein und Bryant.
Ein anderer Benutzer gebeten, Sie zu buchstabieren die Bedingungen, unter denen Microsoft nicht bieten bis patches für die noch unterstützten Betriebssysteme. Windows Server 2000 SP4, zum Beispiel, erhalten Sie Sicherheits-updates bis Juli 2010); Windows-XP-support nicht ausläuft, bis April 2014.
Stein und Bryant ' s Antwort: "Wir werden weiterhin updates für Windows 2000, während es im support, es sei denn, es ist technisch nicht möglich, dies zu tun."
Überspringen von patches ist sehr ungewöhnlich für Microsoft. Nach einem Stein und Bryant, die Letzte Zeit ist es lehnte patch eine Sicherheitslücke in einem support-edition von Windows war im März 2003, als es sagte, es würde nicht das Problem lösen, einen Fehler in Windows NT 4.0. Dann erklärte die Unterlassung, die mit der Sprache sehr ähnlich, was es verwendet, wenn er sagte, es würde nicht ein update von Windows 2000.
"Aufgrund dieser fundamentalen Unterschiede zwischen Windows NT 4.0 und Windows 2000 und seine Nachfolger, es ist jedoch die Neuerstellung der software für Windows NT 4.0 zur Beseitigung der Sicherheitsanfälligkeit," Microsoft sagte zu der Zeit.
Autor: Keylogger.Org Team