Video: Vi byggde EN ENORM nivå 999 999 999 Roblox Zombie Defense Tycoon med Odd Foxx (September 2024)
Inte varje kritisk sårbarhet måste jämföras med Heartbleed för att tas på allvar. Det finns faktiskt inget behov av att ta upp Heartbleed eller Shellshock när det finns en ny programvarufel som kräver omedelbar uppmärksamhet.
Förra veckan korrigerade Microsoft en allvarlig sårbarhet i SChannel (Secure Channel) som har funnits i alla versioner av Windows-operativsystemet sedan Windows 95. En IBM-forskare rapporterade felet till Microsoft i maj, och Microsoft fixade problemet som en del av november Patch tisdagsläpp.
IBM-forskaren Robert Freeman beskrev sårbarheten som ett "sällsynt, " enhörningsliknande "fel."
Användare måste köra Windows Update på sina datorer (om den är inställd på att köras automatiskt, desto bättre) och administratörer bör prioritera den här korrigeringen. Vissa konfigurationer kan ha problem med korrigeringen och Microsoft har släppt en lösning för dessa system. Allt tas hand om, eller hur?
FUD bär sitt fula huvud
Tja, inte riktigt. Faktum är att det finns - sju månader senare! - ett icke-trivialt antal datorer som fortfarande kör Windows XP, trots att Microsoft slutar stöd i april. Så XP-maskiner riskerar fortfarande ett exekveringsangrepp för fjärrkoden om användaren besöker en hemsida med fångar. Men för det mesta är berättelsen densamma som den har varit varje månad: Microsoft fixade en kritisk sårbarhet och släppte en patch. Patch tisdag affärer som vanligt.
Tills det inte var det. Kanske proffs inom informationssäkerhet är nu så trånga att de tror att de måste sälja rädsla hela tiden. Kanske det faktum att denna sårbarhet infördes i Windows-koden för 19 år sedan utlöste någon form av en Heartbleed-flashback. Eller så har vi kommit till en punkt där sensationalism är normen.
Men jag blev förvånad över att se följande land i min inkorg från Craig Young, en säkerhetsforskare med Tripwire, angående Microsoft-patch: "Heartbleed var mindre kraftfull än MS14-066 eftersom det var" bara "ett informationsavsändningsbugg och Shellshock var fjärranslutbart bara i en delmängd av berörda system."
Det har blivit ett skämt - ledsen om du tänker på det - att för någon sårbarhet för att få någon form av uppmärksamhet, måste vi nu ha ett fint namn och en logotyp. Kanske den nästa kommer att ha ett mässingsband och en iögonfallande jingel. Om vi behöver dessa fångar för att få människor att ta informationssäkerhet på allvar, finns det ett problem, och det är inte själva felet. Har vi kommit till den punkten där det enda sättet att uppmärksamma säkerhet är att ta till gimmicks och sensationalism?
Ansvarig säkerhet
Jag gillade följande: "Det här är ett mycket allvarligt fel som måste korrigeras omedelbart. Lyckligtvis uppdaterar ekosystemet för Microsoft-plattformsuppdateringen möjligheten för varje kund att lappas för denna sårbarhet i timmar med Microsoft Update, " säger Philip Lieberman, president för Lieberman programvara.
Misför mig inte. Jag är glad att Heartbleed fick den uppmärksamhet den gjorde, eftersom den var allvarlig och behövde nå människor utanför infosec-gemenskapen på grund av dess omfattande inverkan. Och Shellshocks namn - från vad jag kan säga - kom ut ur en Twitter-konversation där man diskuterade bristen och sätten att testa den. Men det finns inget behov att kalla SChannel-sårbarheten "WinShock" eller att diskutera allvarligheten i förhållande till dessa brister.
Det kan och borde stå på egen hand.
Josh Feinblum, vice ordförande för informationssäkerhet, "Denna sårbarhet utgör allvarlig teoretisk risk för organisationer och borde korrigeras så snart som möjligt, men den har inte samma släpptid som många av de andra nyligen högt publicerade sårbarheterna. på Rapid7, skrev i ett blogginlägg.
Lieberman gjorde en intressant observation och noterade att SChannel-sårbarheten inte var som Heartbleed eftersom det inte är som om alla öppna källsäljare eller klientprogramvaror måste lösa problemet och släppa sin egen patch. Kommersiell mjukvara med definierade patch-leveransmekanismer som Microsoft har på plats betyder att det inte finns någon anledning att oroa sig för "en hodge-podge av komponenter i olika versioner och patch-scenarier."
Det spelar ingen roll om det är svårt (säger IBM) eller trivialt (säger iSight Partners) att utnyttja. Onlinechatter antyder att detta bara är toppen av isberget, och sårbarheten för SChannel har potential att skapa ett enormt röran. Det är ett allvarligt fel. Låt oss prata om frågan på egen hand utan att ta till oss rädsla taktik.
