Investigadores de la almeja acerca de Microsoft rush parches
Microsoft Corp ha caído un cono de silencio a lo largo de varios investigadores de seguridad que recientemente han divulgado los detalles de las vulnerabilidades de la compañía parche el día de hoy con un par de la emergencia de las actualizaciones.
Ayer, los expertos de seguridad involucrados con dos líneas independientes de investigación se negó a hacer más comentarios sobre las conclusiones que ya había publicado, diciendo o dando a entender que ellos estaban haciendo, así que a Microsoft de la solicitud.
La práctica es ciertamente inusual, dijo un investigador que no estuvo involucrado en las investigaciones. "No es raro que los vendedores de preguntar a los investigadores para retener la información", dijo Andrew Storms, director de operaciones de seguridad en nCircle la Seguridad de la Red. "Pero es más como un acuerdo de caballeros, donde el vendedor dice," Aquí está la fecha vamos a parche y después de que usted puede revelar lo que quieras'".
En la conferencia de seguridad Black Hat en miércoles, Ryan Smith, Mark Dowd y David Dewey está programado para mostrar cómo omitir el "kill bit" mecanismo que Microsoft con frecuencia se despliega para apagar buggy controles ActiveX. La compañía utilizó la técnica de julio de 14 a deshabilitar una de streaming de vídeo de control ActiveX utilizado por Internet Explorer (IE), porque no era capaz de parchear el problema subyacente en el tiempo.
Smith es una investigadora de vulnerabilidad en VeriSign iDefense, mientras Dowd y Dewey tanto trabajo para IBM Internet en el Sistema de Seguridad de X-Force.
Aunque Smith ya ha publicado un vídeo que demuestra que él, Dowd y Dewey fueron capaces de explotar un bit de cierre de copia de IE, Smith dijo ayer que él no podía responder a las preguntas acerca de su investigación o confirmar que se habían llevado a Microsoft a salir corriendo de su "fuera de ciclo" parches.
"Actualmente hay una trifecta de estilo embargo en mi intercambio de información," Smith dijo en un e-mail. "Ahora, todo lo que estoy autorizado a decir es que hemos estado trabajando con Microsoft, y la actualización de la mañana se va a abordar algunas de las cuestiones a ser [cubiertas] en nuestro discurso el miércoles a las 3:15 pm PT."
Smith dijo que el embargo podría ser levantada una vez que Microsoft publica las revisiones de emergencia.
Los servicios de seguridad alemanes investigador Dennis Elser también se negó ayer a responder a las preguntas acerca de la investigación que él y Thomas Dullien, el presidente y director de investigación en Zynamics GmbH, han publicado alegando que las vulnerabilidades que se van a revisar hoy en día existen en varios componentes críticos de Windows, y un número desconocido de aplicaciones de terceros.
Dullien, en virtud de su investigador apodo de "Halvar Flake," primero publicado detalles de su trabajo en la 9 de julio, una semana antes de que Microsoft ofreció el bit de cierre de actualización para paralizar las deficiencias del control ActiveX.
De acuerdo a Elser, Dullien se le preguntó por Microsoft para que se abstengan de hacer comentarios acerca de lo que los dos habían encontrado, y que estaba tomando el mismo rumbo. Sin embargo, estaba dispuesto a especular acerca de lo que Microsoft petición de decir. "El hecho de que pidió a Halvar [Copo de] a no más comentarios, además de sus dos últimas entradas del blog son evidencia suficiente, al menos para mí, asumir que van a arreglar la vulnerabilidad dentro de ATL (la msvidctl.dll problema) [hoy]", dijo Elser en un e-mail ayer.
De acuerdo a Dullien y Elser, Microsoft matar bits solución no era suficiente, ya que un error de programación en un código de "biblioteca" llamado Active Template Library (ATL) había dado lugar a vulnerabilidades en otros crucial archivos de Windows, y tal vez las aplicaciones de terceros, cuyos desarrolladores también ha utilizado ATL. Se han contabilizado al menos cinco de estos archivos en Windows XP y al menos 13 en Vista.
"El error es en realidad mucho" más profundo " que el de la mayoría de las personas se dan cuenta, [y] el bit de cierre de corrección es claramente insuficiente, ya que seguramente habrá muchas otras maneras de desencadenar el problema," Dullien dijo en su 9 de julio de post.
Es posible que las dos líneas de investigación están relacionadas. Como Robert McMillan de la IDG News Service falla grave en el Sistema de nombres de Dominio (DNS) software que se utiliza para dirigir el tráfico en Internet. "Que se mantuvo en secreto, pero varias personas adivinado antes había un parche listo, por lo que hubo recordatorios amistosos [a los investigadores] para dejar de hablar en público," Tormentas", dijo.
Microsoft publicará el fuera-de-banda actualizaciones de hoy para IE y Visual Studio a través de su habitual Windows Update y Windows Server Update Services (WSUS) mecanismos de alrededor de la 1 p. m. ET.
El día de hoy, tanto a las 4 pm y 7 pm ET, Microsoft será el anfitrión de un webcast para tomar las preguntas de los clientes. Normalmente, Microsoft hosts, webcasts el día después de la entrega de los parches.
Fecha de publicación: Ayer, los expertos de seguridad involucrados con dos líneas independientes de investigación se negó a hacer más comentarios sobre las conclusiones que ya había publicado, diciendo o dando a entender que ellos estaban haciendo, así que a Microsoft de la solicitud.
La práctica es ciertamente inusual, dijo un investigador que no estuvo involucrado en las investigaciones. "No es raro que los vendedores de preguntar a los investigadores para retener la información", dijo Andrew Storms, director de operaciones de seguridad en nCircle la Seguridad de la Red. "Pero es más como un acuerdo de caballeros, donde el vendedor dice," Aquí está la fecha vamos a parche y después de que usted puede revelar lo que quieras'".
En la conferencia de seguridad Black Hat en miércoles, Ryan Smith, Mark Dowd y David Dewey está programado para mostrar cómo omitir el "kill bit" mecanismo que Microsoft con frecuencia se despliega para apagar buggy controles ActiveX. La compañía utilizó la técnica de julio de 14 a deshabilitar una de streaming de vídeo de control ActiveX utilizado por Internet Explorer (IE), porque no era capaz de parchear el problema subyacente en el tiempo.
Smith es una investigadora de vulnerabilidad en VeriSign iDefense, mientras Dowd y Dewey tanto trabajo para IBM Internet en el Sistema de Seguridad de X-Force.
Aunque Smith ya ha publicado un vídeo que demuestra que él, Dowd y Dewey fueron capaces de explotar un bit de cierre de copia de IE, Smith dijo ayer que él no podía responder a las preguntas acerca de su investigación o confirmar que se habían llevado a Microsoft a salir corriendo de su "fuera de ciclo" parches.
"Actualmente hay una trifecta de estilo embargo en mi intercambio de información," Smith dijo en un e-mail. "Ahora, todo lo que estoy autorizado a decir es que hemos estado trabajando con Microsoft, y la actualización de la mañana se va a abordar algunas de las cuestiones a ser [cubiertas] en nuestro discurso el miércoles a las 3:15 pm PT."
Smith dijo que el embargo podría ser levantada una vez que Microsoft publica las revisiones de emergencia.
Los servicios de seguridad alemanes investigador Dennis Elser también se negó ayer a responder a las preguntas acerca de la investigación que él y Thomas Dullien, el presidente y director de investigación en Zynamics GmbH, han publicado alegando que las vulnerabilidades que se van a revisar hoy en día existen en varios componentes críticos de Windows, y un número desconocido de aplicaciones de terceros.
Dullien, en virtud de su investigador apodo de "Halvar Flake," primero publicado detalles de su trabajo en la 9 de julio, una semana antes de que Microsoft ofreció el bit de cierre de actualización para paralizar las deficiencias del control ActiveX.
De acuerdo a Elser, Dullien se le preguntó por Microsoft para que se abstengan de hacer comentarios acerca de lo que los dos habían encontrado, y que estaba tomando el mismo rumbo. Sin embargo, estaba dispuesto a especular acerca de lo que Microsoft petición de decir. "El hecho de que pidió a Halvar [Copo de] a no más comentarios, además de sus dos últimas entradas del blog son evidencia suficiente, al menos para mí, asumir que van a arreglar la vulnerabilidad dentro de ATL (la msvidctl.dll problema) [hoy]", dijo Elser en un e-mail ayer.
De acuerdo a Dullien y Elser, Microsoft matar bits solución no era suficiente, ya que un error de programación en un código de "biblioteca" llamado Active Template Library (ATL) había dado lugar a vulnerabilidades en otros crucial archivos de Windows, y tal vez las aplicaciones de terceros, cuyos desarrolladores también ha utilizado ATL. Se han contabilizado al menos cinco de estos archivos en Windows XP y al menos 13 en Vista.
"El error es en realidad mucho" más profundo " que el de la mayoría de las personas se dan cuenta, [y] el bit de cierre de corrección es claramente insuficiente, ya que seguramente habrá muchas otras maneras de desencadenar el problema," Dullien dijo en su 9 de julio de post.
Es posible que las dos líneas de investigación están relacionadas. Como Robert McMillan de la IDG News Service falla grave en el Sistema de nombres de Dominio (DNS) software que se utiliza para dirigir el tráfico en Internet. "Que se mantuvo en secreto, pero varias personas adivinado antes había un parche listo, por lo que hubo recordatorios amistosos [a los investigadores] para dejar de hablar en público," Tormentas", dijo.
Microsoft publicará el fuera-de-banda actualizaciones de hoy para IE y Visual Studio a través de su habitual Windows Update y Windows Server Update Services (WSUS) mecanismos de alrededor de la 1 p. m. ET.
El día de hoy, tanto a las 4 pm y 7 pm ET, Microsoft será el anfitrión de un webcast para tomar las preguntas de los clientes. Normalmente, Microsoft hosts, webcasts el día después de la entrega de los parches.
Autor: Keylogger.Org Equipo
