Microsoft: una Patch di Windows 2000 'impossibile'
Microsoft ha preso l'insolita iniziativa di oggi e saltato tre patch di vulnerabilità risolte nel suo mensile di aggiornamento della protezione, dicendo che il crafting una correzione è stata "impossibile."
L'omissione lascia gli utenti che eseguono Windows 2000 Server Service Pack 4 (SP4) vulnerabile agli attacchi.
Prima di oggi, Microsoft ha consegnato cinque aggiornamenti critici che patch otto vulnerabilità in Windows, tra cui tre che la società non si preoccupa di fissaggio in Windows 2000 Server SP4. Il supporto del sistema operativo non finisce fino a luglio 2010; fino ad allora, Microsoft doveva fornire aggiornamenti.
"Questo è molto strano," ha detto Jason Miller, la Sicurezza e i Dati di Team Manager, Shavlik Technologies. "Non ho visto loro fare questo."
Miller è stato in riferimento a MS09-048, l'aggiornamento per la patch di un trio di vulnerabilità in Windows' implementazione di TCP/IP, Web predefinito suite di protocolli di connessione. Tutti e tre l'aggiornamento delle vulnerabilità sono patchati in Vista e Server 2008, ma non per Windows Server SP4.
"Microsoft non rilascia una patch per la vulnerabilità", ha continuato Miller. "Stai affermando che la creazione di una patch per risolvere la vulnerabilità è 'impossibile da costruire.' Con questo in mente, una vulnerabilità che interessa Windows 2000 è in procinto di essere fatto conoscere e che gli amministratori non possono semplicemente patch le loro macchine."
Nel MS09-048 bollettino Microsoft scritto perché non correggere i difetti in Windows 2000 SP4.
"L'architettura per supportare correttamente il protocollo TCP/IP di protezione non esiste su sistemi Microsoft Windows 2000, il che rende impraticabile l'idea di costruire la correzione. Per fare questo è necessario ri-progettazione di una significativa quantità di Windows 2000 SP4 sistema operativo, non solo per il componente interessato. Il prodotto di tale nuova architettura sforzo sarebbe sufficientemente incompatibili ... che non ci sarebbe alcuna garanzia che le applicazioni progettate per funzionare su Windows 2000 SP4 continueranno ad operare sul sistema aggiornato."
"Oh, mio dio", ha detto Andrew Storms, direttore delle operazioni di sicurezza a nCircle di Sicurezza di Rete. "[Che è] a riprova che il Windows 2000 stack di rete non era in buona forma", ha aggiunto, notando che quando è stato rilasciato Windows XP, circolavano voci che Microsoft contratto con Cisco Systems scrivere che sistema operativo stack TCP/IP.
Miller ha esortato le imprese a mettere MS09-048 al top del loro patch to-do list. "Questo è fondamentale se siete alla ricerca di alcuni affari di interazione", ha detto. "Inoltre, non c'è interazione con l'utente richiesto per questo."
Anche se l'account di Windows 2000 per una piccola fetta di tutte le macchine Windows, client o server, Miller ha detto i difetti-e il fatto che Microsoft non si è preoccupato di fissare loro-potrebbero essere disastrose per alcune imprese.
"Chi ha una macchina che non migrati, per esempio, Windows Server 2003, è in un sacco di guai," Miller ha detto. "E ci sono aziende là fuori che non sono, forse perché hanno applicazioni che non verrà eseguito su qualsiasi cosa, ma Windows 2000," ha detto.
Altri si unirono Miller nel raccomandare che il protocollo TCP/IP di aggiornamento da applicare immediatamente. "Una volta che si ottiene un [dannosi] pacchetto, la macchina può essere compromessa", ha detto Amol Sarwate, manager di Qualys vulnerabilità di un laboratorio di ricerca. "Semplice blocco delle porte non funziona come una difesa."
Il solo rivestimento d'argento, ha detto i ricercatori, è che gli hacker hanno bisogno di un relativamente alto livello di competenze per mestiere exploit per il TCP/IP bug. "Gli utenti possono avere più tempo per la patch MS09-048 rispetto ad alcuni degli altri", ha detto Wolfgang Kandek, Qualys' chief technology officer", perché ci vorrà [hacker] po ' di tempo per ottenere un exploit di lavoro.
Mentre attualmente le edizioni supportate di Windows sono interessati dal protocollo TCP/IP vulnerabilità, tra cui Vista e Windows Server 2008, il non-ancora-uscito Windows 7 e Windows Server 2008 R2 non sono.
"E' davvero interessante," ha detto Wolfgang Kandek, il chief technology officer per Qualys. "Microsoft deve fare qualcosa di speciale in quei sistemi operativi che impedisce a tali attacchi."
Un altro Qualys ricercatore ipotizzato che i sistemi operativi più recenti è stato modificato per fornire una migliore infrastruttura di base di protezione. "Direi che Microsoft ha implementato le cose come ASLR," ha detto Richie Lai, direttore della Struttura di ricerca del team. ASLR (address space layout randomization) è un meccanismo di difesa Microsoft ha debuttato con Vista che impedisce agli hacker di essere in grado di prevedere facilmente indirizzi di destinazione-luoghi si potrebbe iniettare codice dannoso per compromettere la sicurezza del computer.
"Che potrebbe rendere Windows 7 e Server 2008 RS distintivo, in qualche modo," Lai ha detto.
Settembre gli aggiornamenti possono essere scaricati e installati tramite Microsoft Update e Windows Update services, nonché attraverso Windows Server Update Services.
Data di pubblicazione: L'omissione lascia gli utenti che eseguono Windows 2000 Server Service Pack 4 (SP4) vulnerabile agli attacchi.
Prima di oggi, Microsoft ha consegnato cinque aggiornamenti critici che patch otto vulnerabilità in Windows, tra cui tre che la società non si preoccupa di fissaggio in Windows 2000 Server SP4. Il supporto del sistema operativo non finisce fino a luglio 2010; fino ad allora, Microsoft doveva fornire aggiornamenti.
"Questo è molto strano," ha detto Jason Miller, la Sicurezza e i Dati di Team Manager, Shavlik Technologies. "Non ho visto loro fare questo."
Miller è stato in riferimento a MS09-048, l'aggiornamento per la patch di un trio di vulnerabilità in Windows' implementazione di TCP/IP, Web predefinito suite di protocolli di connessione. Tutti e tre l'aggiornamento delle vulnerabilità sono patchati in Vista e Server 2008, ma non per Windows Server SP4.
"Microsoft non rilascia una patch per la vulnerabilità", ha continuato Miller. "Stai affermando che la creazione di una patch per risolvere la vulnerabilità è 'impossibile da costruire.' Con questo in mente, una vulnerabilità che interessa Windows 2000 è in procinto di essere fatto conoscere e che gli amministratori non possono semplicemente patch le loro macchine."
Nel MS09-048 bollettino Microsoft scritto perché non correggere i difetti in Windows 2000 SP4.
"L'architettura per supportare correttamente il protocollo TCP/IP di protezione non esiste su sistemi Microsoft Windows 2000, il che rende impraticabile l'idea di costruire la correzione. Per fare questo è necessario ri-progettazione di una significativa quantità di Windows 2000 SP4 sistema operativo, non solo per il componente interessato. Il prodotto di tale nuova architettura sforzo sarebbe sufficientemente incompatibili ... che non ci sarebbe alcuna garanzia che le applicazioni progettate per funzionare su Windows 2000 SP4 continueranno ad operare sul sistema aggiornato."
"Oh, mio dio", ha detto Andrew Storms, direttore delle operazioni di sicurezza a nCircle di Sicurezza di Rete. "[Che è] a riprova che il Windows 2000 stack di rete non era in buona forma", ha aggiunto, notando che quando è stato rilasciato Windows XP, circolavano voci che Microsoft contratto con Cisco Systems scrivere che sistema operativo stack TCP/IP.
Miller ha esortato le imprese a mettere MS09-048 al top del loro patch to-do list. "Questo è fondamentale se siete alla ricerca di alcuni affari di interazione", ha detto. "Inoltre, non c'è interazione con l'utente richiesto per questo."
Anche se l'account di Windows 2000 per una piccola fetta di tutte le macchine Windows, client o server, Miller ha detto i difetti-e il fatto che Microsoft non si è preoccupato di fissare loro-potrebbero essere disastrose per alcune imprese.
"Chi ha una macchina che non migrati, per esempio, Windows Server 2003, è in un sacco di guai," Miller ha detto. "E ci sono aziende là fuori che non sono, forse perché hanno applicazioni che non verrà eseguito su qualsiasi cosa, ma Windows 2000," ha detto.
Altri si unirono Miller nel raccomandare che il protocollo TCP/IP di aggiornamento da applicare immediatamente. "Una volta che si ottiene un [dannosi] pacchetto, la macchina può essere compromessa", ha detto Amol Sarwate, manager di Qualys vulnerabilità di un laboratorio di ricerca. "Semplice blocco delle porte non funziona come una difesa."
Il solo rivestimento d'argento, ha detto i ricercatori, è che gli hacker hanno bisogno di un relativamente alto livello di competenze per mestiere exploit per il TCP/IP bug. "Gli utenti possono avere più tempo per la patch MS09-048 rispetto ad alcuni degli altri", ha detto Wolfgang Kandek, Qualys' chief technology officer", perché ci vorrà [hacker] po ' di tempo per ottenere un exploit di lavoro.
Mentre attualmente le edizioni supportate di Windows sono interessati dal protocollo TCP/IP vulnerabilità, tra cui Vista e Windows Server 2008, il non-ancora-uscito Windows 7 e Windows Server 2008 R2 non sono.
"E' davvero interessante," ha detto Wolfgang Kandek, il chief technology officer per Qualys. "Microsoft deve fare qualcosa di speciale in quei sistemi operativi che impedisce a tali attacchi."
Un altro Qualys ricercatore ipotizzato che i sistemi operativi più recenti è stato modificato per fornire una migliore infrastruttura di base di protezione. "Direi che Microsoft ha implementato le cose come ASLR," ha detto Richie Lai, direttore della Struttura di ricerca del team. ASLR (address space layout randomization) è un meccanismo di difesa Microsoft ha debuttato con Vista che impedisce agli hacker di essere in grado di prevedere facilmente indirizzi di destinazione-luoghi si potrebbe iniettare codice dannoso per compromettere la sicurezza del computer.
"Che potrebbe rendere Windows 7 e Server 2008 RS distintivo, in qualche modo," Lai ha detto.
Settembre gli aggiornamenti possono essere scaricati e installati tramite Microsoft Update e Windows Update services, nonché attraverso Windows Server Update Services.
Autore: Keylogger.Org Team
