Forscher clam bis zu Microsoft ' s rush patches
Microsoft Corp. gesunken ist, einen Kegel des Schweigens über mehrere Sicherheitsexperten, die haben vor kurzem weitergegeben details der Schwachstellen, die das Unternehmen patch später heute mit ein paar Notfall-updates.
Gestern, security-Experten beteiligt, die mit zwei separaten Linien der Forschung lehnte einen Kommentar weiter über die Ergebnisse, die Sie schon veröffentlicht, sagt oder andeutet, dass Sie Taten, so bei Microsoft anfordern.
Die Praxis ist sicherlich ungewöhnlich, sagte ein Forscher, der nicht in die Ermittlungen. "Es ist nicht ungewöhnlich für die Anbieter, Fragen Forscher, um Informationen zurückzuhalten", sagt Andrew Storms, director of security operations bei nCircle Network Security. "Aber es ist mehr wie ein gentlemen' s agreement, bei dem der Verkäufer sagt, 'Hier ist das Datum, wir werden patch und danach kann man offen legen, was Sie wollen.'"
Auf der Black Hat security Konferenz am Mittwoch, Ryan Smith, Mark Dowd und David Dewey sind geplant, um zu zeigen, wie zu umgehen, um den "kill-bit" - Mechanismus, den Microsoft Häufig setzt heruntergefahren buggy ActiveX-Steuerelemente. Das Unternehmen verwendet die Technik, Juli 14 zu deaktivieren, ein video-streaming-ActiveX-Steuerelement für Internet Explorer - (IE -), denn es war nicht in der Lage, vollständig patch das zugrunde liegende problem in der Zeit.
Smith ist eine Schwachstelle Forscher an VeriSign iDefense, während Dowd und Dewey arbeiten beide für IBM Internet Security Systems X-Force.
Obwohl Smith hat bereits ein video gepostet das zeigt, dass er, Dowd und Dewey waren in der Lage, durch einen kill-bit Kopie von DH Smith sagte gestern, er konnte Sie nicht beantworten Fragen über Ihre Forschung oder zu bestätigen, dass es dazu veranlasst hatte Microsoft zur Eile die "out-of-cycle" - patches.
"Es gibt derzeit einen trifecta-Stil-embargo auf meine Informationen teilen", sagte Smith in einer e-mail. "Gerade jetzt, alles, was ich erlaubt bin, zu sagen ist, dass wir' ve wurden arbeiten mit Microsoft und dem update veröffentlicht werden, morgen wird es um einige dieser Probleme zu sein [bedeckt] in unserer Rede auf Mittwoch um 3:15 Uhr PT."
Smith sagte, das embargo würde aufgehoben, sobald Microsoft die Fragen der Notfall-patches.
Deutsche Sicherheits-Forscher Dennis Elser auch sank gestern um Fragen zu beantworten, über die Forschung, die er und Thomas Dullien, Geschäftsführer und head of research bei Zynamics GmbH, veröffentlicht haben, fordern, dass die Schwachstellen gepatcht werden heute existieren in mehreren kritischen Komponenten von Windows und eine unbekannte Zahl von Anwendungen von Drittanbietern.
Dullien, unter seiner Forscher Spitznamen "Halvar Flake" zuerst geschrieben details Ihre Arbeit am 9. Juli, eine Woche, bevor Microsoft ausgeliefert, das kill-bit-update zum Krüppel das fehlerhafte ActiveX-control.
Laut Elser, Dullien gefragt wurde, von Microsoft zu unterlassen, das zu kommentieren, was die beiden gefunden hatte, und er nahm den gleichen Weg. Allerdings war er bereit, zu spekulieren, über das, was Microsoft die Anfrage gemeint ist. "Die Tatsache, dass Sie fragte Halvar [Flake], um den Kommentar nicht weiter, plus seine zwei neuesten blog-Beiträge sind Beweis genug, zumindest für mich, anzunehmen, dass Sie gehen, um patch die Sicherheitslücke in der ATL (die msvidctl.dll Ausgabe) [heute]", sagte Elser in einer e-mail gestern.
Nach Dullien und Elser, Microsoft ' s kill-bit-Lösung nicht ausreichend, da ein Programmier-Fehler im code "Bibliothek" genannt Active Template Library (ATL) hätten dazu geführt, dass Schwachstellen in anderen wichtigen Windows-Dateien, und vielleicht auch third-party-Applikationen, deren Entwickler hatte auch ATL. Sie zählte mindestens fünf solche Dateien in Windows XP und mindestens 13 in Vista.
"Der Fehler ist eigentlich viel "tiefer" als die meisten Menschen erkennen, [und] das kill-bit-Update ist offensichtlich nicht ausreichend, da gibt es bestimmt viele andere Möglichkeiten, die Auslösung der Ausgabe," Dullien, sagte in seiner 9. Juli veröffentlichen.
Es ist möglich, dass die beiden Linien der Forschung verbunden sind. Als Robert McMillan von der IDG News Service kritischen Schwachstelle im Domain Name System (DNS) - software verwendet, um direkte Zugriffe auf das Internet. "Das wurde geheim gehalten, aber einige Leute haben es erraten, bevor es einen patch bereit, so gab es freundliche Erinnerungen [die Forscher] zum stoppen der Diskussion ist öffentlich," Stürme sagte.
Microsoft wird das out-of-band-updates heute für den IE und Visual Studio über seine übliche Windows Update und Windows Server Update Services (WSUS) Mechanismen um 1 Uhr ET.
Später heute, 4 Uhr und 7 Uhr ET, Microsoft wird Gastgeber einer webcast zu nehmen die Fragen der Kunden. In der Regel, Microsoft-hosts wie webcasts am Tag nach es liefert patches.
Datum der Veröffentlichung: Gestern, security-Experten beteiligt, die mit zwei separaten Linien der Forschung lehnte einen Kommentar weiter über die Ergebnisse, die Sie schon veröffentlicht, sagt oder andeutet, dass Sie Taten, so bei Microsoft anfordern.
Die Praxis ist sicherlich ungewöhnlich, sagte ein Forscher, der nicht in die Ermittlungen. "Es ist nicht ungewöhnlich für die Anbieter, Fragen Forscher, um Informationen zurückzuhalten", sagt Andrew Storms, director of security operations bei nCircle Network Security. "Aber es ist mehr wie ein gentlemen' s agreement, bei dem der Verkäufer sagt, 'Hier ist das Datum, wir werden patch und danach kann man offen legen, was Sie wollen.'"
Auf der Black Hat security Konferenz am Mittwoch, Ryan Smith, Mark Dowd und David Dewey sind geplant, um zu zeigen, wie zu umgehen, um den "kill-bit" - Mechanismus, den Microsoft Häufig setzt heruntergefahren buggy ActiveX-Steuerelemente. Das Unternehmen verwendet die Technik, Juli 14 zu deaktivieren, ein video-streaming-ActiveX-Steuerelement für Internet Explorer - (IE -), denn es war nicht in der Lage, vollständig patch das zugrunde liegende problem in der Zeit.
Smith ist eine Schwachstelle Forscher an VeriSign iDefense, während Dowd und Dewey arbeiten beide für IBM Internet Security Systems X-Force.
Obwohl Smith hat bereits ein video gepostet das zeigt, dass er, Dowd und Dewey waren in der Lage, durch einen kill-bit Kopie von DH Smith sagte gestern, er konnte Sie nicht beantworten Fragen über Ihre Forschung oder zu bestätigen, dass es dazu veranlasst hatte Microsoft zur Eile die "out-of-cycle" - patches.
"Es gibt derzeit einen trifecta-Stil-embargo auf meine Informationen teilen", sagte Smith in einer e-mail. "Gerade jetzt, alles, was ich erlaubt bin, zu sagen ist, dass wir' ve wurden arbeiten mit Microsoft und dem update veröffentlicht werden, morgen wird es um einige dieser Probleme zu sein [bedeckt] in unserer Rede auf Mittwoch um 3:15 Uhr PT."
Smith sagte, das embargo würde aufgehoben, sobald Microsoft die Fragen der Notfall-patches.
Deutsche Sicherheits-Forscher Dennis Elser auch sank gestern um Fragen zu beantworten, über die Forschung, die er und Thomas Dullien, Geschäftsführer und head of research bei Zynamics GmbH, veröffentlicht haben, fordern, dass die Schwachstellen gepatcht werden heute existieren in mehreren kritischen Komponenten von Windows und eine unbekannte Zahl von Anwendungen von Drittanbietern.
Dullien, unter seiner Forscher Spitznamen "Halvar Flake" zuerst geschrieben details Ihre Arbeit am 9. Juli, eine Woche, bevor Microsoft ausgeliefert, das kill-bit-update zum Krüppel das fehlerhafte ActiveX-control.
Laut Elser, Dullien gefragt wurde, von Microsoft zu unterlassen, das zu kommentieren, was die beiden gefunden hatte, und er nahm den gleichen Weg. Allerdings war er bereit, zu spekulieren, über das, was Microsoft die Anfrage gemeint ist. "Die Tatsache, dass Sie fragte Halvar [Flake], um den Kommentar nicht weiter, plus seine zwei neuesten blog-Beiträge sind Beweis genug, zumindest für mich, anzunehmen, dass Sie gehen, um patch die Sicherheitslücke in der ATL (die msvidctl.dll Ausgabe) [heute]", sagte Elser in einer e-mail gestern.
Nach Dullien und Elser, Microsoft ' s kill-bit-Lösung nicht ausreichend, da ein Programmier-Fehler im code "Bibliothek" genannt Active Template Library (ATL) hätten dazu geführt, dass Schwachstellen in anderen wichtigen Windows-Dateien, und vielleicht auch third-party-Applikationen, deren Entwickler hatte auch ATL. Sie zählte mindestens fünf solche Dateien in Windows XP und mindestens 13 in Vista.
"Der Fehler ist eigentlich viel "tiefer" als die meisten Menschen erkennen, [und] das kill-bit-Update ist offensichtlich nicht ausreichend, da gibt es bestimmt viele andere Möglichkeiten, die Auslösung der Ausgabe," Dullien, sagte in seiner 9. Juli veröffentlichen.
Es ist möglich, dass die beiden Linien der Forschung verbunden sind. Als Robert McMillan von der IDG News Service kritischen Schwachstelle im Domain Name System (DNS) - software verwendet, um direkte Zugriffe auf das Internet. "Das wurde geheim gehalten, aber einige Leute haben es erraten, bevor es einen patch bereit, so gab es freundliche Erinnerungen [die Forscher] zum stoppen der Diskussion ist öffentlich," Stürme sagte.
Microsoft wird das out-of-band-updates heute für den IE und Visual Studio über seine übliche Windows Update und Windows Server Update Services (WSUS) Mechanismen um 1 Uhr ET.
Später heute, 4 Uhr und 7 Uhr ET, Microsoft wird Gastgeber einer webcast zu nehmen die Fragen der Kunden. In der Regel, Microsoft-hosts wie webcasts am Tag nach es liefert patches.
Autor: Keylogger.Org Team
