La patch che visse tre volte.

[Max72]

La patch che visse tre volte


Terza edizione per una patch di Microsoft, dopo che le precedenti versioni avevano introdotto nuovi bug.

[ZEUS News - www.zeusnews.it - 14-09-2006]

La vita della patch MS06-42 è stata finora tormentata.
Rilasciata in origine l'8 agosto, introdusse la bellezza di due nuove vulnerabilità.

Il 24 agosto Microsoft rilasciò una versione riveduta e corretta della 42; corretta solo in parte, però, dato che chiudeva una sola delle due falle aperte dalla prima versione.
La seconda nuova falla viene quindi stuccata ora - l'aggiornamento è disponibile, come al solito, via Windows Update - e dovrebbe essere finita qui.

Non è la prima volta che una patch di Windows crea nuovi problemi: di qualche caso abbiamo parlato anche noi. Questa in particolare, però, ha creato un vero problema durato fino a oggi per gli utenti: sia applicando la patch, infatti, sia non applicandola, si sono trovati nella situazione di aprire potenzialmente il proprio PC a degli attacchi esterni.

In un post sul Microsoft Internet Explorer Weblog, Tony Chor, Group Program Manager, scrive: "Questo rilascio e la necessità di rilasci successivi sono sicuramente stati un'esperienza istruttiva. Questo ciclo di aggiornamenti non è stato un esempio del nostro lavoro migliore, ma abbiamo usato questa esperienza per migliorare i nostri processi e aumentare la trasparenza per assicurare che tutti i nostri rilasci siano della qualità che ci aspettiamo e che i nostir clienti meritano".

Speriamo bene.

Fonte :
http://www.zeusnews.it/index.php3?ar...047&numero=999

[ago]

Anche i programmatori di Ubuntu avevano fatto un grave errore su una patch (rompendo X). La differenza e' che la patch corretta fu rilasciata nel giro di poche ore...

[Max72]

In un post sul Microsoft Internet Explorer Weblog, Tony Chor, Group Program Manager, scrive: "Questo rilascio e la necessità di rilasci successivi sono sicuramente stati un'esperienza istruttiva. Questo ciclo di aggiornamenti non è stato un esempio del nostro lavoro migliore, ma abbiamo usato questa esperienza per migliorare i nostri processi e aumentare la trasparenza per assicurare che tutti i nostri rilasci siano della qualità che ci aspettiamo e che i nostir clienti meritano".


la maggior risposta dei clienti microsoft dopo questa uscita, sembra sia stata :
mavaccagare!

[Max72]

ma io dico:
ci vuole cosi' tanto a rilasciare patch, solo dopo averle testate come Dio comanda?
possibile che nel 90% dei casi, ogni volta che si scaricano gli updates, si finisce con il ritrovarsi con una falla tappata e 10 aperte?

ecco perche' io sconsiglio di lasciare attivo l'update automatico, quando esce una patch, vanno monitorati minimo per 6 mesi i potenziali effetti tramite i media informatici sul net....poi, forse, se consigliato da almeno 3-4 di loro(microsoft esclusa ovviamente), si puo' vedere di installarla.

[ago]

quando esce una patch, vanno monitorati minimo per 6 mesi i potenziali effetti tramite i media informatici sul net....

Questo pero' significa che hai il PC potenzialmente vulnerabile per 6 mesi. La prima cosa che fanno i crackers e' studiarsi le patches in modo da coplire tutti gli utenti che non hanno effettuato l'aggiornamento (la maggior parte). Dalla padella alla brace...

[Max72]

Questo pero' significa che hai il PC potenzialmente vulnerabile per 6 mesi. La prima cosa che fanno i crackers e' studiarsi le patches in modo da coplire tutti gli utenti che non hanno effettuato l'aggiornamento (la maggior parte). Dalla padella alla brace...

Ma alla fin della fiera ce l'hai ugualmente esposto se non peggio di prima.

Una delle prime cose che bisogna fare(come sai meglio di me) e' utilizzare prodotti alternativi a quelli di microsoft, perche' e' inutile che stiamo qua a menarcela, per mantenere un S.O microsoft il piu' pulito possibile, non servono tanto le patch proprietarie(eccezion fatta per i service pack e altre 2-3 cosettine che riguardano direttamente il S.O e non i prodotti installati[che poi anche 1 anno fa' con la patch per un buco del TCP su componenza del kernel hanno fatto una cagata pazzesca che impediva la navigazione, ma in cambio lasciava accessibilita' al kernel stesso]) ma una decina di programmi open/free ,dal firewall all'antivirus, controllo malaware e monitorizzazione della rete, condite ad un gran culo.

Io oltre al service pack2 non sono andato, e non ho pgrossi roblemi nel gestire la macchina, eseguo verifiche varie e settimanali e non formatto da un casino.

Idem quando avevo Win98, a parte gli aggiornamenti importanti che custodisco ancora in folder apposita, non stavo li a scaricarmi ogni singola patch, che poi dopo un mese risultava strabuggata, e veniva puntualmente segnalata quando ormaiil 60% degli utilizzatori si ritrovavano infetti o straesposti.

Mettiamo che i programmatori di Ubuntu non avessero rilasciato immediatamente una nuova versione del pacchetto che lasciava X vulnerabile, o che mesi fa', dava la possibilita' di scovare la root password aprendo con un editor di testo 3 file, cosa sarebbe stato meglio?
Mantenere la versione precedente non aggiornata che incasinava alcuni processi, ma manteneva il sistema perlomeno sicuro, oppure prendersi un aggiornamento che snelliva e sbuggava i processi ma in cambio restituiva la possibilita' di crackeraggio?
Ora questo su linux e' digeribile appunto, come hai detto prima, perche' su Linux i problemi si risolvono dopo qualche ora, basta una singola segnalazione e volia', ecco pronto un pacchetto nuovo di fiamma che va' a coprire il buco(ed e' comunque pratica non alla portata di infezione da trojan per diffusione veloce, bisogna oltrepassare una sicurezza piu' alta), ma su windows cambia tutto, dato che rilasciano la stessa patch, che ha lo stesso scopo per 3 volte a distanza di mesi....se non sei protetto con mezzi "esterni" a microsoft, si infetta mezzo pianeta nel giro di qualche giorno.

Questa ciofeca ad esempio :

----------------------------------------
Microsoft Security Bulletin MS06-042
Cumulative Security Update for Internet Explorer (918899)
Published: August 8, 2006 | Updated: August 24, 2006

Version: 2.0
Summary

Who should read this document: Customers who use Microsoft Windows

Impact of Vulnerability: Remote Code Execution

Maximum Severity Rating: Critical

Recommendation: Customers should apply the update immediately.

Security Update Replacement: This bulletin replaces several prior security updates. See the frequently asked questions (FAQ) section of this bulletin for the complete list.

Caveats: This Security Bulletin and the Internet Explorer 6 Service Pack 1 security updates have been updated to address an issue documented in Microsoft Knowledge Base Article 923762. This issue may lead to an additional buffer overrun condition only affecting Internet Explorer 6 Service Pack 1 customers that have applied the original version of that update released August 8th, 2006. The security issue is documented in the Vulnerability Details section as Long URL Buffer Overflow – CVE-2006-3869. Internet Explorer 6 Service Pack 1 Customers should apply the new update immediately. Microsoft Knowledge Base Article 918899 documents this and any other currently known issues that customers may experience when they install this security update. The article also documents recommended solutions for these issues. For more information, see Microsoft Knowledge Base Article 918899.

---------------------------------

Viene rilasciata per I.E, dovrebbe impedire l'esecuzione di codice remoto, ha problemi ed e' "treeizzata" da service pack 1........ora, da Win98, credo che almeno il 99% dell'utenza, si sia sentita postare, replyare, consigliare e cantare, di non utilizzare I.E (outlook, il firewall di XP stesso, etc, etc), ma viceversa di usare prodotti non microsoft, perche' I.E and company, sono sempre stati buggati, nonostante tonnellate di patch uscite e lo saranno sempre.

Anche Firefox ha presentato, presenta e presentera' dei bug, e' normale, ma escono aggiornamenti relativamente "stabili", che si occupano di coprire le fallle presenti oltre che nel software FF, anche del sistema stesso e che nemmeno con il service pack 2, sono stati effettivamente risolti.

Per il Dcom si e' dovuto aspettare il service pack 2 in pratica, ma bastava scaricarsi un eseguibile che tappava la falla, presente in rete mesi prima dal rilascio del SP2.....e guardacaso, non rilasciato da microsoft.
Per chi usava e usa Avast(o altro), il problema veniva corretto dal web scanner direttamente, rendendo piu' sicura la navigazione con il SP1 privo di firewall.

Poi se uno vuol farsi del male e proseguire ad usare I.E and company, allora la cosa cambia, che se li scarichi pure gli aggiornamenti e si becchi una tonnellata di aggressioni, non ho mai capito che fatica enorme ci sia nello scaricarsi Firefox, cliccare su di un eseguibile ed installarsi un altro browser...cazzo, ci sono intere pagine di siti che spiegano e linkano a programmi open/free e spiegano come configurare il S.O per blindarlo decentemente, certo che se un utente microsoft preferisce lasciare attivo "windows update" e lasciare che pensi a tutto microsoft, allora e' un masochista.

[Max72]

Come cazzo si fa' poi a pretendere sicurezza in un sistema dove ogni applicazione propietaria(o quasi) e' direttamente collegata e fusa di prepotenza al kernel stesso, senza soluzione di continuita' non lo so', basta una sforata di un buffer, che non si limita a crashare l'applicazione o il sistema e al limite a predisporre il sistema all'attacco...nooo, troppo facile, si sfonda proprio tutto e sia va' ad interessare qualsiasi processo senza soluzione di continuita'.

Tu non puoi metterci le mani data la policy volutamente casinistica, pero' bastano 4 righe marce di codice ed un protocollo fallato da anni e corretto con il culo ed ancor piu' fallato, che bellamente il primo pirla che passa, arriva dritto al kernel e puo' fare quel che vuole....e' pazzesco.