Исследователи молчат о патчах Microsoft rush
Корпорация Microsoft обрушила конус молчания на нескольких исследователей безопасности, которые недавно раскрыли подробности уязвимостей, которые компания исправит позже сегодня с помощью пары экстренных обновлений.
Вчера эксперты по безопасности, занимающиеся двумя отдельными направлениями исследований, отказались комментировать дальнейшие результаты, которые они уже опубликовали, заявив или намекнув, что они делают это по просьбе Microsoft.
Эта практика, безусловно, необычна, сказал исследователь, который не участвовал в расследованиях. "Это не редкость, когда поставщики просят исследователей утаить информацию", - сказал Эндрю Стормс, директор по операциям безопасности в nCircle Network Security. -Но это больше похоже на джентльменское соглашение, где продавец говорит: "вот дата, которую мы исправим, и после этого вы можете раскрыть все, что захотите.'"
На конференции Black Hat security conference в среду Райан Смит, Марк Дауд и Дэвид Дьюи должны показать, как обойти механизм "убить бит", который Microsoft часто развертывает для отключения глючных элементов управления ActiveX. Компания использовала этот метод 14 июля, чтобы отключить элемент управления ActiveX для потоковой передачи видео, используемый Internet Explorer (IE), потому что он не смог полностью исправить основную проблему вовремя.
Смит-исследователь уязвимостей в VeriSign iDefense, в то время как Дауд и Дьюи работают в X-Force IBM Internet Security System.
Хотя Смит уже выложил видео это свидетельствует о том, что он, Дауд и Дьюи смогли использовать убойную копию IE, Смит сказал вчера, что он не может ответить на вопросы об их исследованиях или подтвердить, что это побудило Microsoft спешно выпустить свои патчи "вне цикла".
"В настоящее время существует трифектное эмбарго на мой обмен информацией",-сказал Смит в электронном письме. "Прямо сейчас все, что я могу сказать, это то, что мы работаем с Microsoft, и обновление, которое будет выпущено завтра, будет касаться некоторых вопросов, которые будут [освещены] в нашей речи в среду в 3:15 вечера по Гринвичу."
Смит сказал, что эмбарго будет снято, как только Microsoft выпустит аварийные патчи.
Немецкий исследователь безопасности Деннис Эльзер также отказался вчера ответить на вопросы об исследовании, которое он и Томас Даллиен, генеральный директор и руководитель исследований Zynamics GmbH, опубликовали, утверждая, что уязвимости, подлежащие исправлению сегодня, существуют в нескольких критических компонентах Windows и неизвестном количестве сторонних приложений.
Даллиен, под своим исследовательским псевдонимом "Халвар Флейк", впервые опубликовал подробности об их работе 9 июля, за неделю до того, как Microsoft выпустила обновление kill-bit, чтобы искалечить дефектный элемент управления ActiveX.
По словам Эльзера, Microsoft попросила Даллиена воздержаться от комментариев по поводу того, что обнаружили эти двое, и он придерживался того же подхода. Тем не менее, он был готов размышлять о том, что означает запрос Microsoft. "Тот факт, что они попросили Халвара [Флейка] не комментировать дальше, плюс его два последних сообщения в блоге являются достаточным доказательством, по крайней мере для меня, чтобы предположить, что они собираются исправить уязвимость в ATL (msvidctl.dll issue) [сегодня]",-сказал Эльсер в своем вчерашнем электронном письме.
По мнению Dullien и Elser, решение kill-bit от Microsoft было недостаточным, поскольку ошибка программирования в кодовой "библиотеке" под названием Active Template Library (ATL) привела к уязвимостям в других важных файлах Windows и, возможно, сторонних приложениях, разработчики которых также использовали ATL. Они насчитали по меньшей мере пять таких файлов в Windows XP и по меньшей мере 13 в Vista.
"Ошибка на самом деле гораздо" глубже", чем большинство людей понимают, [и] исправление kill-bit явно недостаточно, так как должно быть много других способов вызвать эту проблему", - сказал Даллиен в своем посте от 9 июля.
Вполне возможно, что эти два направления исследований связаны между собой. Как отметил Роберт Макмиллан из службы новостей IDG, критический недостаток в программном обеспечении системы доменных имен (DNS) используется для направления трафика в Интернете. "Это держалось в секрете, но несколько человек догадались об этом еще до того, как был готов патч, поэтому были дружеские напоминания [этим исследователям], чтобы прекратить обсуждать это публично", - сказал Штормс.
Microsoft выпустит внеполосные обновления сегодня для IE и Visual Studio с помощью своих обычных механизмов Windows Update и Windows Server Update Services (WSUS) около 1 часа дня по восточному времени.
Позже сегодня, как в 4 часа дня, так и в 7 часов вечера по восточному времени, Microsoft проведет веб-трансляцию, чтобы ответить на вопросы клиентов. Как правило, Microsoft размещает такие веб-трансляции на следующий день после доставки исправлений.
Дата публикации: Вчера эксперты по безопасности, занимающиеся двумя отдельными направлениями исследований, отказались комментировать дальнейшие результаты, которые они уже опубликовали, заявив или намекнув, что они делают это по просьбе Microsoft.
Эта практика, безусловно, необычна, сказал исследователь, который не участвовал в расследованиях. "Это не редкость, когда поставщики просят исследователей утаить информацию", - сказал Эндрю Стормс, директор по операциям безопасности в nCircle Network Security. -Но это больше похоже на джентльменское соглашение, где продавец говорит: "вот дата, которую мы исправим, и после этого вы можете раскрыть все, что захотите.'"
На конференции Black Hat security conference в среду Райан Смит, Марк Дауд и Дэвид Дьюи должны показать, как обойти механизм "убить бит", который Microsoft часто развертывает для отключения глючных элементов управления ActiveX. Компания использовала этот метод 14 июля, чтобы отключить элемент управления ActiveX для потоковой передачи видео, используемый Internet Explorer (IE), потому что он не смог полностью исправить основную проблему вовремя.
Смит-исследователь уязвимостей в VeriSign iDefense, в то время как Дауд и Дьюи работают в X-Force IBM Internet Security System.
Хотя Смит уже выложил видео это свидетельствует о том, что он, Дауд и Дьюи смогли использовать убойную копию IE, Смит сказал вчера, что он не может ответить на вопросы об их исследованиях или подтвердить, что это побудило Microsoft спешно выпустить свои патчи "вне цикла".
"В настоящее время существует трифектное эмбарго на мой обмен информацией",-сказал Смит в электронном письме. "Прямо сейчас все, что я могу сказать, это то, что мы работаем с Microsoft, и обновление, которое будет выпущено завтра, будет касаться некоторых вопросов, которые будут [освещены] в нашей речи в среду в 3:15 вечера по Гринвичу."
Смит сказал, что эмбарго будет снято, как только Microsoft выпустит аварийные патчи.
Немецкий исследователь безопасности Деннис Эльзер также отказался вчера ответить на вопросы об исследовании, которое он и Томас Даллиен, генеральный директор и руководитель исследований Zynamics GmbH, опубликовали, утверждая, что уязвимости, подлежащие исправлению сегодня, существуют в нескольких критических компонентах Windows и неизвестном количестве сторонних приложений.
Даллиен, под своим исследовательским псевдонимом "Халвар Флейк", впервые опубликовал подробности об их работе 9 июля, за неделю до того, как Microsoft выпустила обновление kill-bit, чтобы искалечить дефектный элемент управления ActiveX.
По словам Эльзера, Microsoft попросила Даллиена воздержаться от комментариев по поводу того, что обнаружили эти двое, и он придерживался того же подхода. Тем не менее, он был готов размышлять о том, что означает запрос Microsoft. "Тот факт, что они попросили Халвара [Флейка] не комментировать дальше, плюс его два последних сообщения в блоге являются достаточным доказательством, по крайней мере для меня, чтобы предположить, что они собираются исправить уязвимость в ATL (msvidctl.dll issue) [сегодня]",-сказал Эльсер в своем вчерашнем электронном письме.
По мнению Dullien и Elser, решение kill-bit от Microsoft было недостаточным, поскольку ошибка программирования в кодовой "библиотеке" под названием Active Template Library (ATL) привела к уязвимостям в других важных файлах Windows и, возможно, сторонних приложениях, разработчики которых также использовали ATL. Они насчитали по меньшей мере пять таких файлов в Windows XP и по меньшей мере 13 в Vista.
"Ошибка на самом деле гораздо" глубже", чем большинство людей понимают, [и] исправление kill-bit явно недостаточно, так как должно быть много других способов вызвать эту проблему", - сказал Даллиен в своем посте от 9 июля.
Вполне возможно, что эти два направления исследований связаны между собой. Как отметил Роберт Макмиллан из службы новостей IDG, критический недостаток в программном обеспечении системы доменных имен (DNS) используется для направления трафика в Интернете. "Это держалось в секрете, но несколько человек догадались об этом еще до того, как был готов патч, поэтому были дружеские напоминания [этим исследователям], чтобы прекратить обсуждать это публично", - сказал Штормс.
Microsoft выпустит внеполосные обновления сегодня для IE и Visual Studio с помощью своих обычных механизмов Windows Update и Windows Server Update Services (WSUS) около 1 часа дня по восточному времени.
Позже сегодня, как в 4 часа дня, так и в 7 часов вечера по восточному времени, Microsoft проведет веб-трансляцию, чтобы ответить на вопросы клиентов. Как правило, Microsoft размещает такие веб-трансляции на следующий день после доставки исправлений.
Автор: Keylogger.Org Команда
