Video: Møt ekspertene | Mustang Mach-E | Ford Norge (Oktober 2024)
Ikke alle kritiske sårbarheter må sammenlignes med Heartbleed for å bli tatt på alvor. Det er faktisk ikke nødvendig å få opp Heartbleed eller Shellshock når det er en ny programvarefeil som krever øyeblikkelig oppmerksomhet.
Forrige uke lappet Microsoft en alvorlig sårbarhet i SChannel (Secure Channel) som har eksistert i hver versjon av Windows-operativsystemet siden Windows 95. En IBM-forsker rapporterte feilen til Microsoft i mai, og Microsoft løste problemet som en del av november Oppdatering tirsdag.
IBM-forsker Robert Freeman beskrev sårbarheten som en "sjelden, " enhjørning-lignende "bug."
Brukere må kjøre Windows Update på datamaskinene sine (hvis det er satt til å kjøre automatisk, desto bedre), og administratorer bør prioritere denne oppdateringen. Noen konfigurasjoner kan ha problemer med oppdateringen, og Microsoft har gitt ut en løsning for disse systemene. Alt blir tatt vare på, ikke sant?
FUD sitter på det stygge hodet
Vel, ikke helt. Faktum er at det er - syv måneder senere! - et ikke-trivielt antall datamaskiner som fremdeles kjører Windows XP, til tross for at Microsoft slutter å støtte i april. Så XP-maskiner er fremdeles i fare for et eksternt kjøringsangrep hvis brukeren besøker et booby-fanget nettsted. Men for det meste er historien den samme som den har vært hver måned: Microsoft fikset en kritisk sårbarhet og ga ut en oppdatering. Lapp tirsdagvirksomhet som vanlig.
Inntil det ikke var det. Kanskje er fagpersoner innen informasjonssikkerhet nå så slitne at de tror de må selge frykt hele tiden. Kanskje det faktum at denne sårbarheten ble introdusert i Windows-koden for 19 år siden, utløste en slags Heartbleed-flashback. Eller så har vi kommet til et punkt der sensasjonalisme er normen.
Men jeg ble overrasket over å se følgende land i innboksen min fra Craig Young, en sikkerhetsforsker med Tripwire, angående Microsoft-oppdateringen: "Heartbleed var mindre kraftig enn MS14-066 fordi det var 'bare' en informasjonsavdekking og Shellshock var fjernutnyttelig bare i en undergruppe av berørte systemer."
Det har blitt en vits - en trist om du tenker på det - at for en hvilken som helst sårbarhet for å få noen form for oppmerksomhet, må vi nå ha et fancy navn og en logo. Kanskje den neste har et messingband og en fengende jingel. Hvis vi trenger disse fangstene for å få folk til å ta informasjonssikkerhet på alvor, er det et problem, og det er ikke feilen i seg selv. Har vi kommet til det punktet der den eneste måten å gjøre oppmerksomhet på sikkerhet på er å ty til gimmicks og sensasjonalisme?
Ansvarlig sikkerhet
Jeg likte følgende: "Dette er en veldig alvorlig feil som må rettes opp umiddelbart. Heldigvis gir økosystemet til Microsoft-plattformoppdateringen muligheten for at hver kunde kan lappes for dette sikkerhetsproblemet i timer ved å bruke Microsoft Update, " sa Philip Lieberman, president i Lieberman programvare.
Misforstå ikke. Jeg er glad for at Heartbleed fikk oppmerksomheten den gjorde, fordi den var alvorlig og trengte å nå folk utenfor infosec-samfunnet på grunn av dets omfattende innvirkning. Og Shellshocks navn - fra hva jeg kan fortelle - kom ut av en Twitter-samtale der vi diskuterte feilen og måtene å teste den på. Men det er ikke nødvendig å kalle SChannel-sårbarheten "WinShock" eller å diskutere alvoret i forhold til disse feilene.
Det kan, og bør, stå på egen hånd.
Josh Feinblum, visepresident for informasjonssikkerhet, "Denne sårbarheten utgjør alvorlig teoretisk risiko for organisasjoner og bør oppdateres så snart som mulig, men det har ikke den samme innvirkningen på frigjøringstid som mange av de andre nylig høyt publiserte sårbarhetene. på Rapid7, skrev i et blogginnlegg.
Lieberman gjorde en interessant observasjon og la merke til at sårbarheten med SChannel ikke var som Heartbleed, siden det ikke er som om hver åpen kildekodeleverandør eller klientprogramvare måtte løse problemet og gi ut sin egen oppdatering. Kommersiell programvare med definerte oppdateringsleveringsmekanismer som Microsoft har på plass betyr at det ikke er behov for å bekymre deg for "en hodge-podge av komponenter i forskjellige versjoner og patch-scenarier."
Det har ikke noe å si om det er vanskelig (sier IBM) eller bagatellmessig (sier iSight Partners) å utnytte. Nettprat antyder at dette bare er toppen av isfjellet, og sårbarheten med SChannel har potensial til å skape et stort rot. Det er en alvorlig feil. La oss snakke om saken på egne grunner uten å ty til frykt taktikker.
