Вы всё ещё пользуетесь windows?

[dil]

Тогда мы идём к вам: “This vulnerability could allow remote code execution if a user views a specially crafted Web page using a Web browser or clicks a specially crafted link in an e-mail message. Microsoft is aware that proof-of-concept exploit code has been published for the vulnerability.”

Это было 10 июня, а теперь появились реальные эксплойты.

Оригинал этой записи. Комментировать можно тут или там.

Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме

Comments

[mcjabberwock.livejournal.com]

Не в первый раз. Думаю, и не в последний...

[dil.livejournal.com]

особенно удручает, что не в последний

[mcjabberwock.livejournal.com]

Ай, брось. Всё это — суета сует.

[deadracoon.livejournal.com]

А что бывают уже операционные системы без ошибок?

Кстати, в Висте и windows 7 проблемы нет.
Для более старых версий есть workaround: http://support.microsoft.com/kb/2219475

[salas.livejournal.com]

Этот workaround в автоматическое обновление включён?

[dil.livejournal.com]

конечно, не быввает, как и вообще сколько-нибудь серьёзных программ.
но в windows почему-то регулярно обнаруживаются серьёзные ошибки.
что в семёрке этой проблемы нет, это хорошо, но у нас в компании, например, корпоративный стандарт - XP. И я сильно сомневаюсь, что компания захочет потратить немножечко денюжек на покупку нескольких сотен новых лицензий, переобучение персонала и хелпдеска, пересборку стандартно заливаемых на ноутбуки образов и прочие проблемы, связанные с апгрейдом.

ну да, можно совсем отключить протокол HCP. но его ж зачем-то придумали, значит, его отключение принесёт какие-то неудобства в работе.

[1master.livejournal.com]

Более того, workaround описан прямо в том самом MSA от 10 июня.

[network1453.livejournal.com]

У мну на работе для интернета давно стоит отдельный компьютер с SUSE. Красота - никаких проблем с вирусами!

[dil.livejournal.com]

да я вообще уже много лет в линуксе работаю. windows запускаю исключительно для того, чтобы посмотреть на некоторые сайты из IE.

[network1453.livejournal.com]

Да уж. Банк-клиенты только под ослика - то ещё зло...

[bromi.livejournal.com]

Никаких проблем с sharepoint, exchange.

[network1453.livejournal.com]

Для sharepoint, exchange по уму надо делать отдельную машину. А пользователей которым это нужно - давать доступ только на их сервер, без прямого доступа наружу. Разве не так ?
Хотя некоторая вероятность заражения всё равно останется...

[bromi.livejournal.com]

Я не о том. Я о том, что в современной корпоративной работе люди пользуются вещами, которые никогда не будут на должном уровне, если вообще, интегрированы с линуксом.

[network1453.livejournal.com]

Факт. Но согласись - если такого специфичного ПО нет, то глупо цепляться за windows. А ещё есть задачи где Unixы заведомо лучше windows.
Так что предлагаю не холиварить :) Для каждой задачи есть свой оптимальный набор инструментов её реализации.

[bromi.livejournal.com]

Несоменно. И задача десктопа - не та ;)

[network1453.livejournal.com]

Я считаю что "десктоп" - уж слишком большой класс задач. К нему какие-либо инструменты можно отнести лишь формально :) Это практически сферический конь в вакууме ;)
Возвращаясь к теме хочу сказать, что если задача - серфить в нете по обычным сайтам (без IE-only банк-клиентов и sharepoint с exchange ), то линукс с графической мордой тут самое то. Всё что кроме - см. мою реплику про иструментарий.

[http://users.livejournal.com/_windwalker_/]

Был бы линукс такой популярной десктопной системой - и в нём бы дырки находили. Все одним миром мазаны.

[tejblum.livejournal.com]

Вопрос не столько в том что дырки -- в линуксе их и так находят пачками -- сколько в фиксах. Фикс к типичной дырке в линуксе появляется практически сразу после обнаружения; ну день, ну два, но не три недели же.

[amris.livejournal.com]

А как выглядит фикс к типичной дырке в линуксе? Патч к исходному коду ядра?

[dil.livejournal.com]

да, обычно как патч. но сборщики дистрибутивов обычно сами его применяют и выпускают обновлённые версии пакетов, которые ставятся одной командой типа apt-get upgrade.

[dil.livejournal.com]

Дим, ты помнишь, когда в линуксе (ну или в типичном софте для него) последний раз обнаруживали существенную дырку?
Существенная - это с возможностью удалённого получения контроля над машиной. Мне вспоминается только замечательная манипуляция разработчиков Debian с ssh-ключами.

[maxcom.livejournal.com]

в firefox регулярно находят

[dil.livejournal.com]

с возможностью получения контроля над машиной? можно примеры?

[maxcom.livejournal.com]

http://www.mozilla.org/security/announce/2010/mfsa2010-29.html
http://www.mozilla.org/security/announce/2010/mfsa2010-28.html
http://www.mozilla.org/security/announce/2010/mfsa2010-26.html

[dil.livejournal.com]

running arbitrary code не есть получение контроля над машиной. этот код выполняется с привилегиями пользователя. для получения контроля нужна ещё эскалация привилегий до суперпользователя

[bromi.livejournal.com]

Так ты поищи для тех линуксов, которые времён XP.
Ах, не поддерживаются? Ну увы, увы.

[dil.livejournal.com]

а что, XP уже не поддерживается?

[bromi.livejournal.com]

SP2, кстати, нет. Да и у SP3, боюсь, надо почитать отдельный талмудик каких-нибудь ограниченных условий поддержки.
А вообще, я имел ввиду, что стоит отделять мух от котлет. Одно дело - ругать бизнес-модель МС, а другое - ругать дырки в системе, архитектуре которой 9 лет. UAC вон, меняет поле кардинально, мне кажется.

[dil.livejournal.com]

бизнес-модель МС меня вообще не волнует. я смотрю исключительно с точки зрения безопасности конечного пользователя.
UAC в смысле безопасности несколько приближает windows к юниксу, в котором ограничение и разделение прав пользователей изначально поддерживалось на уровне ядра.

и всё равно это не панацея. когда дырки обнаруживаются в системных процессах, работающих с привилегиями суперпользователя, то никакое разделение прав не поможет.

кроме того, как показывают эксперименты, UAC не всегда помогает даже там, где по идее должен бы: http://www.sophos.com/blogs/chetw/g/2009/11/03/windows-7-vulnerable-8-10-viruses/

[deadracoon.livejournal.com]

В Windows NT - 2000 - XP - Vista - Windows 7 "разделение прав пользователей изначально поддерживалось на уровне ядра".

[andris.livejournal.com]

Но фактически не поощрялось к использованию.

[deadracoon.livejournal.com]

Поощрялось.
Проблема в том что в 16-битной Windows и в Windows 95 этого не было.
И модель приложений не была продумана хорошо - считалось что домашнему пользователю боятся нечего (и до широкого распространения интернета так оно и было). А потом совместимость с приложениями стала большой проблемой. Поэтому и UAC.

[dil.livejournal.com]

что же тогда существенного добавил UAC? и как оно работало без него до висты?

[deadracoon.livejournal.com]

Добавил - пользователи (даже администраторы_ по умолчанию не имеют административных привилегий (хорошая практика), но легко могут выполнить необходимое им действие с нужными привилениями без необходимости создавать отдельную сессию.

[dil.livejournal.com]

вот именно. до тех пор отсутствие удобной возможности смены привилегий на лету приводило к тому, что всё это разделение прав на практике почти не использовалось. локальные пользователи работали сразу от администратора, чтоб не переключаться, когда понадобятся административные права, или заранее добавляли себе много ненужных прав. ну и с соответствующим результатом.

[deadracoon.livejournal.com]

Тем не менее на уровне ядра разделение пользователей было изначально.

[dil.livejournal.com]

ну да, было. но в юзерспейсе мало использовалось по назначению

[deadracoon.livejournal.com]

SP3 поддерживается.
SP2 поддерживается с ограничениями.

[maxcom.livejournal.com]

что, отсутствие рута помешает утащить приватные данные, начать рассылать спам или участвовать в DDOS?

кстати приведенная по ссылке уязвимость Microsoft вроде тоже права администратора не дает

[deadracoon.livejournal.com]

А о дырках в Windows пользователи чаще всего узнают непосредственно от Microsoft в момент выпуска фикса.

[network1453.livejournal.com]

Счастье в неведении :)