Tutkija läväytti Windows 7 -aukon verkkoon
54
Windows 7:ää ja palvelinpuolen Windows Server 2008 R2 -käyttöjärjestelmää koskeva ytimenkaatohaavoittuvuus on sen löytäjän Laurent Gaffién mukaan todiste, että Microsoftin koko tuotekehitysprosessin kattava tietoturvan kehitysohjelma, Security Development Lifecycle, on epäonnistunut.
Ongelma koskettaa Windowsin server message block -koodia ja voi aiheuttaa käyttöjärjestelmän kaatamisen. Microsoft korjasi jo aikaisemmin syksyllä toisen smb-aukon, jonka sama tutkija oli paljastanut.
Gaffié julkaisi uuden haavoittuvuuden esimerkkikoodin blogissaan ja pilkkaa, että "virhe on niin aloittelijamainen, että SDL:n olisi pitänyt huomata se jo kaksi vuotta sitten, jos SDL olisi ollut koskaan olemassa".
Microsoft kertoi InformationWeek-lehdelle tutkivansa mahdollista smb-palvelunestohaavoittuvuutta. Yhtiö ei pidä siitä, että aukkoja julkistetaan tällä tavalla antamatta riittävästi aikaa korjauksen valmistamiseen.
Laurent Gaffié sanoo, että olipa palomuuri säädetty miten tahansa, aukon avulla järjestelmän voi kaataa esimerkiksi Internet Explorerin kautta.
Kommentit (54)
Eikö ne ikinä opi, mitä seuraa kun integroidaan asiakassovellus liian syvälle järjestelmään..
No on kyllä aika hätäinen heppu.
8.11 informoinut Microsoftia ja kun ei heti korjausta saanut, niin julkaisi bugin 11.11, eli vain kolme päivää siitä, kun oli informoinut Microsoftia.
Eli näin taloussanomien keskustelupalstaa lainatakseni: "Ei koske Suomea".
No on kyllä aika hätäinen heppu.
8.11 informoinut Microsoftia ja kun ei heti korjausta saanut, niin julkaisi bugin 11.11, eli vain kolme päivää siitä, kun oli informoinut Microsoftia.
Avoimessa lähdekoodissa tuo kolme päivää on pitkä aika.
Eiköhän pointti ollut se, että ko. haavoittuvuus on sitä luokkaa, että se kertoo osaamattomuudesta Microsoftin puolelta. Osaamattomuus sitten tietysti kertautuu koodissa muuallakin.