Windows 7 to hit consumers with known security problem
Quỹ Phần mềm Tự do châu Âu: sự thờ ơ của Microsoft tô đậm giá trị của phần mềm tự do
FSFE: Microsoft's neglect highlights value of Free Software
Theo: http://fsfe.org/news/2009/news-20091019-01.en.html
Bài được đưa lên Internet ngày: 19/10/2009
Lời người dịch: Cảnh báo cho những ai có dự định sử dụng Windows 7, hệ điều hành mới của Microsoft dự kiến được tung ra vào ngày 22/10/2009 với lỗ hổng an ninh cấp độ 4/5 đã được báo trước nhưng vẫn không được vá cho tới thời điểm của bài viết này 19/10/2009. Lỗ hổng này có thể làm tắt máy tính từ xa nếu bị tấn công từ chối dịch vụ.
Hệ điều hành mới nhất của Microsoft, Windows 7, hiện đang được xuất xưởng với một lỗi nghiêm trọng tiềm tàng. Trước lúc đưa ra toàn cầu sản phẩm vào hôm thứ ba, Cơ quan an ninh IT liên bang Đức (BSI) đã đưa ra một cảnh báo về một chỗ tổn thương rủi ro cao trong giao thức SMB2. Điều này có thể bị khai thác qua mạng để làm tắt một máy tính với một cuộc tấn công từ chối dịch vụ (DoS).
Sự việc này miêu tả cách mà phần mềm sở hữu độc quyền thường đưa ra một rủi ro về an ninh. “Chỉ có Microsoft có thể sửa được vấn đề này. Mà họ đã hình như nhắm mắt họ lại đối với chỗ có thể bị tổn thương này một thời gian dài, với hy vọng rằng nó có thể sẽ không làm hỏng việc tung ra Windows 7 vào thứ ba này”, Karsten Gerloff, Chủ tịch của Quỹ Phần mềm Tự do châu Âu (FSFE), nói.
Theo những thực tiễn phát hiện có trách nhiệm, BSI đã không đưa ra các chi tiết trong tuyên bố của mình (phần dịch sang tiếng Anh ở bên dưới) từ hôm 06/10. Trong khi chờ đợi thường là một chiến lược tốt để trao cho các nhà cung cấp thời gian để sửa chữa những chỗ có thể bị tổn thương trước khi công bố chúng một cách công khai, trong trường hợp này BSI phải xem xét việc đưa ra các chi tiết đầy đủ về vấn đề này để tạo sức ép nhiều hơn lên Microsoft. Cơ quan này nói rằng lỗ hổng an ninh này ảnh hưởng tới Windows 7 và Windows Vista trong cả các phiên bản 32 bit và 64 bit, cũng như Windows Server 2008. Chỗ có thể bị tổn thương này là khác với một vấn đề của SMB2 trước đó [2] mà với nó Microsoft đã đưa ra bản vá MS09-050 vào tháng 9.
Gerloff của FSFE giải thích: “Phần mềm của Microsoft khóa trói những người sử dụng nó, vì thế họ vẫn phải sống với nó ngay cả nếu hãng này phát hiện chúng một cách hiểu biết đối với một rủi ro về an ninh như thế này. Với các phần mềm tự do như GNU/Linux - những phần mềm mà bạn có thể nghiên cứu, chia sẻ và cải tiến - thì một số thực thể độc lập có thể sửa vấn đề này. Người tiêu dùng phải không ủng hộ hành vi phớt lờ của Microsoft bằng việc mua các sản phẩm của hãng. Phần mềm tự do đưa ra một giải pháp thay thế, và là sẵn sàng từ nhiều nhà cung cấp độc lập”.
Microsoft's latest operating system, Windows 7, is currently shipping with a potentially serious defect. Ahead of the product's global launch on Thursday, Germany's federal IT security agency (BSI) has issued a warning [1] about a high-risk vulnerability in the SMB2 protocol. This can be exploited over the network to shut down a computer with a Denial of Service (DoS) attack.
This incident illustrates how proprietary software often poses a security risk. "Only Microsoft can fix the problem. But they have apparently closed their eyes to this vulnerability for a long time, hoping that it wouldn't spoil the retail launch of Windows 7 this Thursday," says Karsten Gerloff, President of the Free Software Foundation Europe (FSFE).
Following responsible disclosure practices, the BSI has not published details in its announcement (English translation below) from October 6. While it is generally a good strategy to give vendors time to repair vulnerabilities before announcing them publicly, in this case the BSI should consider publishing the full details of the problem to put more pressure on Microsoft. The agency says that the security hole affects Windows 7 and Windows Vista in both their 32-bit and 64-bit versions, as well as Windows Server 2008. This vulnerability is different from an earlier SMB2 issue [2] for which Microsoft published the patch MS09-050 in September.
FSFE's Gerloff explains: "Microsoft's software locks its users in, so they have to stay even if the company knowingly exposes them to a security risk like this. With Free Software like GNU/Linux - software that you can study, share and improve - several independent entities can fix the problem. Consumers should not support Microsoft's negligent behaviour by buying its products. Free Software offers an alternative, and is available from many independent vendors."
Microsoft còn chưa trả lời cho cảnh báo của BSI. Không có biểu hiện nào là hãng này sẽ định sửa lỗ hổng này trong hệ điều hành mới nhất của họ trước khi tung ra Windows 7 toàn cầu vào thứ ba. Chỗ có thể bị tổn thương này vẫn mở ngay cả sau ngày đưa ra bản vá của Microsoft vào tháng 10.
Những thực tiễn về an ninh của hãng này từ lâu vẫn là nguyên nhân để lo lắng. Chỉ trong một sự việc gần đây [3], Microsoft đã biết về một chỗ có thể bị tổn thương khác trong SMB2 kể từ tháng 7/2009. Trong khi hãng đã sửa vấn đề này trong phiên bản cuối của Windows 7 vào đầu tháng 8, thì hãng đã không làm gì để sửa vấn đề y như vậy trong Windows Vista hoặc Windows Server 2008 cho tới khi một nhà nghiên cứu an ninh độc lập đưa ra công khai về vấn đề này.
Site thông tin về IT Heise của Đức phỏng đoán rằng vấn đề này đã đứng cuối trong một danh sách nội bộ của Microsoft về các lỗi ưu tiên thấp mà hãng này cố gắn sửa một cách âm thầm, để tránh việc thiên hạ biết tới một cách tiêu cực.
[1] Germany's federal IT security agency (BSI) has issued a warning
[2] Microsoft Security Advisory (975497): Vulnerabilities in SMB Could Allow Remote Code Execution
[3] Microsoft has known of the SMB2 hole for some time
----------
Bản dịch từ tiếng Đức về tư vấn an ninh của BSI:
Mức độ đe dọa: “rủi ro cao mức 4” (thang từ 1-5, với mức 5 là “rất cao”).
Tiêu đề: Giao thức SMB2 của Microsoft Windows: Một chỗ dễ bị tổn thương khác cho phép từ chối dịch vụ (Windows Vista và Windows 7 có thể bị tổn thương).
Ngày: 06/10/2009
Phần mềm: Microsoft Windows 7, Microsoft Windows 7 x64 Edition, Microsoft Windows Vista / SP1 / SP2, Microsoft Windows Vista x64 Edition / SP1 / SP2, Microsoft Windows Server 2008
Nền tảng: Windows
Hiệu ứng: Từ chối dịch vụ
Có thể bị khai thác từ xa: Có
Rủi ro: cao
Tham khảo: nghiên cứu nội bộ
Mô tả:
Khối thông điệp máy chủ (SMB) là một giao thức mà nó cho phép truy cập chia sẻ tới các máy tính và tệp. SMB2 là một phiên bản mới của giao thức này, mà nó đã được đưa ra với Windows Vista và Windows Server 2008, và nó cũng sẵn sàng trong Windows 7. Những triển khai cài đặt hiện hành của SMB2 sẽ bị ảnh hưởng bởi chỗ có thể bị tổn thương này. Đây là một chỗ bị tổn thương mới, không là là cái mà đã được mô tả trong Tư vấn An ninh của Microsoft số 975497. Các hệ điều hành được liệt kê này có thể vì thế vẫn bị tấn công thành công ngay cả sau khi việc cài đặt các phiên bản cập nhật của bản vá trong tháng 10 của Microsoft (MS09-050).
Hiện tại không có bản cập nhật hoặc bản vá nào sẵn sàng từ nhà cung cấp này. Các hành động duy nhất được khuyến cáo là hãy nhận thức về nó và theo dõi chỗ dễ bị tổn thương này. Như một sự khắc phục thi nó chỉ có thẻ được khuyến cáo để hạn chế sự truy cập tới các máy chủ SMB2 đối với các hệ thống được tin cậy bằng các tường lửa, hoặc làm mất tác dụng của dịch vụ SMB2.
Microsoft has not yet responded to the BSI's warning. There is no indication that the company will manage to fix the gaping hole in its flagship operating system before the global launch of Windows 7 this Thursday. The vulnerability remains open even after Microsoft's October patch day.
The company's security practices have long been a cause for concern. In just one recent incident [3], Microsoft knew about another vulnerability in SMB2 since July 2009. While it did fix the problem in the final version of Windows 7 in early August, it did nothing to repair the same problem in Windows Vista or Windows Server 2008 until an independent security researcher went public about the issue. German IT news site Heise speculates that the issue ended up on a Microsoft-internal list of low-priority bugs which the company tries to fix silently, in order to avoid negative publicity.
[1] Germany's federal IT security agency (BSI) has issued a warning
[2] Microsoft Security Advisory (975497): Vulnerabilities in SMB Could Allow Remote Code Execution
[3] Microsoft has known of the SMB2 hole for some time
-----------
Translation of the BSI's security advisory:
Threat level: "4 high risk" (out of 1-5, with 5 being "very high").
Title: Microsoft Windows SMB2-Protocol: Another vulnerability allows denial of service (Windows Vista and Windows 7 vulnerable).
Date: 2009-10-06
Software: Microsoft Windows 7, Microsoft Windows 7 x64 Edition, Microsoft Windows Vista / SP1 / SP2, Microsoft Windows Vista x64 Edition / SP1 / SP2, Microsoft Windows Server 2008
Platform: Windows
Effect: Denial-of-Service
Remoteexploitable: Yes
Risk: high
Reference: internal research
Description:
Server Message Block (SMB) is a protocol which enables shared access to printers and files. SMB2 is a new version of this protocol, which was introduced with Windows Vista and Windows Server 2008, and which is also available on Windows 7. Current implementations of SMB2 are affected by this vulnerability. This is a new vulnerability, not the one described in Microsoft Security Advisory 975497. The listed operating systems can therefore still be successfully attacked even after installation of the updates of Microsoft's October patchday (MS09-050).
Currently there is no update or patch available from the vendor. The only recommended actions are to be aware of and track the vulnerability. As a workaround it can only be recommended to limit access to SMB2 servers to trusted systems by firewalls, or to disable the SMB2 service.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.