Video: From Missingno to Heartbleed: Buffer Exploits and Buffer Overflows (Tháng Chín 2024)
Không phải mọi lỗ hổng nghiêm trọng phải được so sánh với Heartbleed để được thực hiện nghiêm túc. Trong thực tế, không cần phải đưa lên Heartbleed hoặc Shellshock khi có một lỗ hổng phần mềm mới đòi hỏi sự chú ý ngay lập tức.
Tuần trước, Microsoft đã vá một lỗ hổng nghiêm trọng trong SChannel (Kênh bảo mật) tồn tại trong mọi phiên bản hệ điều hành Windows kể từ Windows 95. Một nhà nghiên cứu của IBM đã báo cáo lỗi này cho Microsoft vào tháng 5 và Microsoft đã khắc phục sự cố này như một phần của tháng 11 Bản vá thứ ba phát hành.
Nhà nghiên cứu của IBM, Robert Freeman, đã mô tả lỗ hổng này là "lỗi hiếm gặp, " giống kỳ lân ".
Người dùng cần chạy Windows Update trên máy tính của họ (nếu nó được thiết lập để tự động chạy, tất cả đều tốt hơn) và quản trị viên nên ưu tiên bản vá này. Một số cấu hình có thể gặp sự cố với bản vá và Microsoft đã phát hành một cách giải quyết cho các hệ thống đó. Tất cả mọi thứ được chăm sóc, phải không?
FUD xé cái đầu xấu xí của nó
Vâng, không hoàn toàn. Thực tế là, có bảy tháng sau, có một số máy tính không tầm thường vẫn chạy Windows XP, mặc dù Microsoft đã kết thúc hỗ trợ vào tháng Tư. Vì vậy, các máy XP vẫn có nguy cơ bị tấn công thực thi mã từ xa nếu người dùng truy cập Trang web bị bẫy. Nhưng đối với hầu hết các phần, câu chuyện vẫn giống như mọi tháng: Microsoft đã sửa một lỗ hổng nghiêm trọng và phát hành một bản vá. Patch thứ ba kinh doanh như bình thường.
Cho đến khi nó không. Có lẽ các chuyên gia bảo mật thông tin bây giờ rất mệt mỏi đến nỗi họ nghĩ rằng họ phải bán sợ hãi mọi lúc. Có lẽ thực tế là lỗ hổng này đã được đưa vào mã Windows 19 năm trước đã kích hoạt một loại hồi tưởng Heartbleed. Hoặc chúng ta đã đi đến một điểm mà chủ nghĩa giật gân là chuẩn mực.
Nhưng tôi rất ngạc nhiên khi thấy mảnh đất sau trong hộp thư đến của mình từ Craig Young, một nhà nghiên cứu bảo mật của Tripwire, liên quan đến bản vá của Microsoft: "Heartbleed kém mạnh hơn MS14-066 vì đó là 'chỉ là một lỗi tiết lộ thông tin và Shellshock là chỉ có thể khai thác từ xa trong một tập hợp con của các hệ thống bị ảnh hưởng. "
Nó trở thành một trò đùa, một điều đáng buồn nếu bạn nghĩ về nó, vì bất kỳ lỗ hổng nào để có được sự chú ý, bây giờ chúng ta cần phải có một cái tên lạ mắt và logo. Có lẽ người tiếp theo sẽ có một ban nhạc kèn đồng và tiếng leng keng hấp dẫn. Nếu chúng ta cần những cái bẫy này để khiến mọi người thực hiện bảo mật thông tin một cách nghiêm túc, thì có một vấn đề, và đó không phải là lỗi. Chúng ta đã đi đến điểm duy nhất để thu hút sự chú ý đến an ninh là dùng đến mánh lới quảng cáo và chủ nghĩa giật gân chưa?
Bảo mật có trách nhiệm
Tôi thích điều sau: "Đây là một lỗi rất nghiêm trọng cần được vá ngay lập tức. May mắn thay, hệ sinh thái cập nhật nền tảng của Microsoft cung cấp khả năng cho mọi khách hàng được vá lỗ hổng này trong vài giờ bằng Microsoft Update", Philip Lieberman, chủ tịch của Phần mềm Lieberman.
Đừng hiểu lầm tôi. Tôi rất vui khi Heartbleed nhận được sự chú ý của nó, bởi vì nó rất nghiêm túc và cần thiết để tiếp cận những người bên ngoài cộng đồng infosec vì tác động trên phạm vi rộng của nó. Và tên của Shellshock từ những gì tôi có thể nói với ông đã xuất phát từ một cuộc trò chuyện trên Twitter bàn về lỗ hổng và cách để kiểm tra nó. Nhưng không cần phải gọi lỗ hổng SChannel là "WinShock" hoặc tranh luận về mức độ nghiêm trọng của nó liên quan đến những sai sót đó.
Nó có thể, và nên, tự đứng.
"Lỗ hổng này gây rủi ro lý thuyết nghiêm trọng cho các tổ chức và cần được vá càng sớm càng tốt, nhưng nó không có tác động về thời gian phát hành như nhiều lỗ hổng công khai gần đây khác", Josh Feinblum, phó chủ tịch bảo mật thông tin tại Rapid7, đã viết trong một bài đăng trên blog.
Lieberman đã thực hiện một quan sát thú vị, lưu ý rằng lỗ hổng SChannel không giống như Heartbleed vì nó không giống như mọi nhà cung cấp hoặc phần mềm máy khách nguồn mở phải khắc phục sự cố và phát hành bản vá của riêng họ. Phần mềm thương mại với các cơ chế phân phối bản vá được xác định như những gì Microsoft có tại chỗ có nghĩa là không cần phải lo lắng về "một chỗ dựa của các thành phần của các phiên bản khác nhau và các kịch bản vá lỗi".
Sẽ không thành vấn đề nếu khó khăn (nói IBM) hoặc tầm thường (nói iSight Partners) để khai thác. Trò chuyện trực tuyến cho thấy đây chỉ là phần nổi của tảng băng và lỗ hổng SChannel có khả năng tạo ra một mớ hỗn độn khổng lồ. Đó là một lỗi nghiêm trọng. Hãy nói về vấn đề trên giá trị riêng của nó mà không cần dùng đến chiến thuật sợ hãi.
