Microsoft vulnerabilities: full disclosure and no disclosure
6 July 2010, 16:18
Bài được đưa lên Internet ngày: 06/07/2010
Lời người dịch: Một số hãng dịch vụ an ninh đã dừng việc thông báo các lỗi an ninh trong các sản phẩm của Microsoft vì bất đồng về lý do tài chính và điều này có thể sẽ gây nguy hại cho người sử dụng. Họ đưa ra những câu hỏi dạng như: “Vì sao các nhà cung cấp dịch vụ an ninh lại phải vứt đi những thông tin tự do có mục đích làm cho các phần mềm phải trả tiền được an ninh hơn?”
Sau khi lộ diện hoàn toàn, bây giờ Microsoft có một phương án lộ diện để đấu tranh với - không lộ diện. Nhà cung cấp các dịch vụ an ninh của Pháp VUPEN kêu đã để lộ ra 2 chỗ bị tổn thương về an ninh mang tính sống còn trong phiên bản Office 2010 được tung ra gần đây - mà đã chuyển thông tin về các chỗ bị tổn thương này và khuyến cáo làm dịu đi đối với các khách hàng chỉ của riêng mình. Còn bây giờ, hãng không định cấp cho Microsoft các chi tiết, khi họ tính tới sự thiệt hơn - một lưu ý trong sự tin tưởng trong báo cáo về an ninh - không phù hợp.
VUPEN, trước đây được biết như là FrSIRT, các khách hàng bào gồm các cơ quan chính phủ và các nhà cung cấp khác và theo các bình luận được thực hiện bởi CEO của VUPEN Chaouki Bekrar cho các bên liên quan của The H tại heise Security, hoạt động trên cơ sở “chính sách để lộ có trách nhiệm riêng tư”. Hãng này không đưa ra bất kỳ thông tin nào công khai cho tới khi một bản vá là có sẵn sàng.
Liệu một bản vá sẽ có sẵn sàng cho các chỗ bị tổn thương của Office hay không còn phụ thuộc vào Microsoft và liệu họ có thiện chí trả tiền cho các thông tin hay không. VUPEN nói rằng trong những năm gần đây hãng đã hỗ trợ một cách tự nguyện nhiều nhà cung cấp trong việc sửa các chỗ bị tổn thương, mà không lấy tiền. Chỉ riêng năm nay hãng kêu đã báo cáo 130 chỗ bị tổn thương trong các sản phẩm của Microsoft cho Microsoft. VUPEN có ý kiến rằng điều này sẽ không bao giờ tồn tại được nữa. “Vì sao các nhà cung cấp dịch vụ an ninh lại phải vứt đi những thông tin tự do có mục đích làm cho các phần mềm phải trả tiền được an ninh hơn?” Bekrar đã hỏi.
Trong trường hợp của Office 2010, hãng này nói rằng hãng đã đầu tư khá nhiều thời gian và nỗ lực vào những chỗ bị tổn thương về an ninh không được dò tìm ra. Những chỗ bị tổn thương theo yêu cầu được báo cáo đều nằm trong Worrd và Excel và cho phép tấn công mã nguồn. Hãng này nói rằng, mặc dù Office 2010 là an ninh hơn các phiên bản trước, nhưng nó vẫn có khả năng làm hỏng sự ngăn ngừa chạy dữ liệu (DEP) và các tính năng kiểm tra tính hợp lệ của tệp và xem được bảo vệ của Office, có sử dụng các kỹ thuật được sử dụng một cách thành công trước đó để viết những khai thác tin cậy được cho Office 2007.
Following on from full disclosure, Microsoft now has a new disclosure variant to contend with – no disclosure. French security services provider VUPEN claims to have discovered two critical security vulnerabilities in the recently released Office 2010 – but has passed information on the vulnerabilities and advice on mitigation to its own customers only. For now, the company does not intend to fill Microsoft in on the details, as they consider the quid pro quo – a mention in the credits in the security bulletin – inadequate.
VUPEN, formerly known as FrSIRT, customers include various government agencies and other vendors and according to comments made by VUPEN CEO Chaouki Bekrar to The H's associates at heise Security, operates on a "private responsible disclosure policy" basis. The company does not release any information publicly until a patch is available.
Whether a patch will be available for the Office vulnerabilities depends on Microsoft and whether they are willing to pay for the information. VUPEN states that in recent years it has voluntarily assisted many vendors in fixing vulnerabilities, gratis. This year alone it claims to have reported 130 vulnerabilities in Microsoft products to Microsoft. VUPEN is of the opinion that this is no longer viable. "Why should security services providers give away for free information aimed at making paid-for software more secure?" asked Bekrar.
In the case of Office 2010, the company states that it has invested substantial time and effort in uncovering security vulnerabilities. The vulnerabilities in question are reported to be in Word and Excel and allow code injection. The company says that, although Office 2010 is more secure than previous versions, it's still possible to circumvent data execution prevention (DEP) and Office's protected view and file validation features, using techniques previously successfully used to write reliable exploits for Office 2007.
VUPEN không đơn độc - Nhà cung cấp dịch vụ an ninh Mỹ là Immunity Sec cũng không hé lộ và cung cấp cho các khách hàng của mình những thông tin về những khai thác ngày số 0 mà không có thông báo cho Microsoft. Ngược lại, Sáng kiến Ngày số 0 (ZDI) của Tipping Point mua thông tin về các chỗ bị tổn thương, đưa các thông tin này vào các chữ ký cho hệ thống dò tìm sự truy cập trái phép và sau đó chuyển tiếp những thông tin này cho nhà cung cấp theo yêu cầu một cách miễn phí.
Microsoft cũng có những cuộc đấu tranh về phía mình trên những mặt trận khác. Một nhóm các lập trình viên dấu tên đã trả lời cho chỉ trích của Microsoft về một xuất bản phẩm gần đây của Tavis Ormandy với việc sáng lập ra Microsoft-Spurned Researcher Collective (MSRC, cf. Microsoft Security Response Center). Nhóm này lên kế hoạch xuất bản các chỗ bị tổn thương ở dạng hoàn toàn để lộ và sẵn sàng trải nghiệm những gì nó khuyên với các chi tiết về một chỗ bị tổn thương ưu tiên cao trong Windows. Chỗ bị tổn thương này hiện được biết ảnh hưởng tới Windows Vista và Windows Server 2008.
Theo các báo cáo của nhà cung cấp dịch vụ an ninh Secunia, cũng có một sự tràn bộ nhớ trong chức năng UpdateFrameTitleForDocument trong thành phần thời gian chạy của Windows mfc42.dll (VC++6). Hiện tại lỗi này chỉ được biết là có khả năng hoạt động trong một ứng dụng, PowerZip 7.2 build 4010 trong Windows 2000 và XP. Chưa có những chi tiết thêm hoặc các kịch bản tấn công nào được tiết lộ. Theo một bài trên Twitter, Microsoft đang điều tra vấn đề này.
VUPEN is not alone – US security services provider Immunity Sec also practices no disclosure and provides its customers with information on zero day exploits without informing Microsoft. By contrast, Tipping Point's Zero Day Initiative (ZDI) buys information on vulnerabilities, works the information into signatures for its intrusion detection system and then forwards the information to the vendor in question free of charge.
Microsoft also has fights on its hands on other fronts. A group of unknown developers has responded to Microsoft's criticism of a recent publication by Tavis Ormandy by founding the Microsoft-Spurned Researcher Collective (MSRC, cf. Microsoft Security Response Center). The group plans to publish vulnerabilities in a full disclosure stylee and is already practising what it preaches with details of a privilege escalation vulnerability in Windows. The vulnerability is currently known to affect Windows Vista and Windows Server 2008.
According to reports by security services provider Secunia, there is also a buffer overflow in the UpdateFrameTitleForDocument function in the mfc42.dll (VC++6) Windows run time component. At present the bug is only known to be able to be triggered in one application, PowerZip 7.2 build 4010 under Windows 2000 and XP. No further details or attack scenarios have been disclosed. According to a post on Twitter, Microsoft is investigating the problem.
(crve)
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.