1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Security: Google veröffentlicht…

Ordentlich Zeit!

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema
  1. 1
  2. 2

Neues Thema


  1. Ordentlich Zeit!

    Autor: Anonymer Nutzer 04.01.15 - 12:23

    Drei Monate sind nun auch echt ne Menge Zeit, um eine Sicherheitslücke zu fixen. Frag mich grad, warum Microsoft in der ganzen Zeit keinen Patch zusammengebaut hat.

    Wie lang hat es nochmal gedauert, bis die ersten Patches für Shellshock und Heartbleed da waren? 1-2 Tage?

    Und die Programmierer bei MS kriegen sogar noch Geld für ihre Arbeit... :-/

  2. Re: Ordentlich Zeit!

    Autor: Rababer 04.01.15 - 12:31

    Die halten es nicht für wichtig und fixen es wahrscheinlich gar nicht.

  3. Re: Ordentlich Zeit!

    Autor: violator 04.01.15 - 12:54

    binki schrieb:
    --------------------------------------------------------------------------------
    > Und die Programmierer bei MS kriegen sogar noch Geld für ihre Arbeit... :-/


    Ja und die Programmierer tun das, was ihnen befohlen wird. Oder meinst du die arbeiten da einfach so wie sie wollen und können sich aussuchen was sie da gerade programmieren?

  4. Re: Ordentlich Zeit!

    Autor: generalsolo 04.01.15 - 13:09

    binki schrieb:
    --------------------------------------------------------------------------------
    > Drei Monate sind nun auch echt ne Menge Zeit, um eine Sicherheitslücke zu
    > fixen. Frag mich grad, warum Microsoft in der ganzen Zeit keinen Patch
    > zusammengebaut hat.
    >
    > Wie lang hat es nochmal gedauert, bis die ersten Patches für Shellshock und
    > Heartbleed da waren? 1-2 Tage?
    >
    > Und die Programmierer bei MS kriegen sogar noch Geld für ihre Arbeit... :-/

    Microsoft arbeitet wahrscheinlich schon an einen Patch für diese Lücke. Die brauchen dafür halt länger, da Windows vom Quellcode her viel komplexer als die ganzen Linux Distris (welche aus den Linux Kernel und vielen Softwarebestandteile von Dritten ist) und irgendwelchen Browser. Außerdem muss Microsoft den Patch und das Betriebssystem im Kombination mit vielen Drittanbietersoftware testen. Beim IE ist es genauso.

  5. Re: Ordentlich Zeit!

    Autor: Wallbreaker 04.01.15 - 13:56

    Rababer schrieb:
    --------------------------------------------------------------------------------
    > Die halten es nicht für wichtig und fixen es wahrscheinlich gar nicht.

    Wenn man schon nach dem Motto verfährt, nur das Nötigste zu fixen und den Rest einfach liegen zu lassen, hat am Ende nicht mehr als ein OS in dem dutzende kleiner Lücken bestehen. Wo ist die Garantie, dass sich das was man für derart unwichtig hält, nicht in anderer Form ausnutzen lässt? Es bedarf oft nur einer weiteren Lücke, und plötzlich sind vermeintlich vernachlässigte Lücken wieder sehr bedeutend.

  6. Re: Ordentlich Zeit!

    Autor: __destruct() 04.01.15 - 14:42

    Dutzende Lücken? Es gibt jeden Tag über 300'000 neue Schadware-Varianten für Windows. Ich bezweifle, dass die alle auf so wenigen Lücken rumrutschen.

  7. Re: Ordentlich Zeit!

    Autor: __destruct() 04.01.15 - 14:42

    Widows ist auch in Kernel und Rest aufgeteilt, von daher ist dein Argument allein deswegen ungültig.

  8. Re: Ordentlich Zeit!

    Autor: k@rsten 04.01.15 - 15:27

    Kannst du irgendwas von dem was du in deinem Kommentar geschrieben hast, auch belegen, warum genau soll es so viel komplexer sein, als andre OS wie z.B. OS X oder die von dir angesprochenen Linux Distributionen?

    Wenn man mal einen Blick auf die Mail mit der Analyse des Problems anschaut, die an Microsoft vor 3 Monaten verschickt wurde, dann sieht das gar nicht so komplex aus:

    Platform: Windows 8.1 Update 32/64 bit (No other OS tested)

    On Windows 8.1 update the system call NtApphelpCacheControl (the code is actually in ahcache.sys) allows application compatibility data to be cached for quick reuse when new processes are created. A normal user can query the cache but cannot add new cached entries as the operation is restricted to administrators. This is checked in the function AhcVerifyAdminContext.

    This function has a vulnerability where it doesn't correctly check the impersonation token of the caller to determine if the user is an administrator. It reads the caller's impersonation token using PsReferenceImpersonationToken and then does a comparison between the user SID in the token to LocalSystem's SID. It doesn't check the impersonation level of the token so it's possible to get an identify token on your thread from a local system process and bypass this check. For this purpose the PoC abuses the BITS service and COM to get the impersonation token but there are probably other ways.

    It is just then a case of finding a way to exploit the vulnerability. In the PoC a cache entry is made for an UAC auto-elevate executable (say ComputerDefaults.exe) and sets up the cache to point to the app compat entry for regsvr32 which forces a RedirectExe shim to reload regsvr32.exe. However any executable could be used, the trick would be finding a suitable pre-existing app compat configuration to abuse.

    It's unclear if Windows 7 is vulnerable as the code path for update has a TCB privilege check on it (although it looks like depending on the flags this might be bypassable). No effort has been made to verify it on Windows 7. NOTE: This is not a bug in UAC, it is just using UAC auto elevation for demonstration purposes.

    The PoC has been tested on Windows 8.1 update, both 32 bit and 64 bit versions. I'd recommend running on 32 bit just to be sure. To verify perform the following steps:

    1) Put the AppCompatCache.exe and Testdll.dll on disk
    2) Ensure that UAC is enabled, the current user is a split-token admin and the UAC setting is the default (no prompt for specific executables).
    3) Execute AppCompatCache from the command prompt with the command line "AppCompatCache.exe c:\windows\system32\ComputerDefaults.exe testdll.dll".
    4) If successful then the calculator should appear running as an administrator. If it doesn't work first time (and you get the ComputerDefaults program) re-run the exploit from 3, there seems to be a caching/timing issue sometimes on first run.

    This bug is subject to a 90 day disclosure deadline. If 90 days elapse
    without a broadly available patch, then the bug report will automatically
    become visible to the public.

  9. Re: Ordentlich Zeit!

    Autor: pseudo 04.01.15 - 15:41

    Du hast wohl kaum Ahnung von Programmierung, wenn ich mir deinen Kommentar so ansehe.

  10. Re: Ordentlich Zeit!

    Autor: pythoneer 04.01.15 - 16:08

    binki schrieb:
    --------------------------------------------------------------------------------
    > Wie lang hat es nochmal gedauert, bis die ersten Patches für Shellshock und
    > Heartbleed da waren? 1-2 Tage?

    Beides in wenigen Stunden. Aus der Erinnerung raus, war bei Arch innerhalb von ca. 30 Minuten ein Patch im Testing-Zweig nach ein paar Stunden der erste Fix der von einem Zweiten so ca. nach 24h gefolgt wurde. Ich kann gerne noch einmal nachsehen wie die exakten Zeiten waren, jedoch spielen ein paar Minuten und ein paar Stunden keine große Rolle im Vergleich zu > drei Monaten (es ist ja immer noch nicht behoben)

  11. Re: Ordentlich Zeit!

    Autor: pythoneer 04.01.15 - 16:12

    Wallbreaker schrieb:
    --------------------------------------------------------------------------------
    > Rababer schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Die halten es nicht für wichtig und fixen es wahrscheinlich gar nicht.
    >
    > Wenn man schon nach dem Motto verfährt, nur das Nötigste zu fixen und den
    > Rest einfach liegen zu lassen, hat am Ende nicht mehr als ein OS in dem
    > dutzende kleiner Lücken bestehen.

    Ja, hat man ja auch. MS fixt nur die Lücken die wirtschaftlichen nutzen bringen und wenn sie von der NSA zum fixen freigegeben sind und die NSA sie nicht mehr braucht.

    > Wo ist die Garantie, dass sich das was
    > man für derart unwichtig hält, nicht in anderer Form ausnutzen lässt?

    Die gibt es nicht, und niemand hat dir diese versprochen.

    > Es
    > bedarf oft nur einer weiteren Lücke, und plötzlich sind vermeintlich
    > vernachlässigte Lücken wieder sehr bedeutend.

    Richtig.

  12. Re: Ordentlich Zeit!

    Autor: pythoneer 04.01.15 - 16:15

    generalsolo schrieb:
    --------------------------------------------------------------------------------

    > Microsoft arbeitet wahrscheinlich schon an einen Patch für diese Lücke. Die
    > brauchen dafür halt länger, da Windows vom Quellcode her viel komplexer als
    > die ganzen Linux Distris

    Woher weißt du das? Bist du in der MS Shared Source Initiative*? Ich denke MS hat einen ziemlich gut wartbaren Code auf den sie zurückgreifen können.

    > (welche aus den Linux Kernel und vielen
    > Softwarebestandteile von Dritten ist) und irgendwelchen Browser. Außerdem
    > muss Microsoft den Patch und das Betriebssystem im Kombination mit vielen
    > Drittanbietersoftware testen. Beim IE ist es genauso.

    Und bei Linux muss das nicht passieren, wo Linux doch auf so viel mehr Plattformen läuft?

    Nene, der Grund ist ein ganz anderer. MS hat nicht so viel Manpower.

    *
    http://de.wikipedia.org/wiki/Shared_Source
    http://www.microsoft.com/en-us/sharedsource/default.aspx

  13. Re: Ordentlich Zeit!

    Autor: spiderbit 04.01.15 - 19:45

    ich geh mal von aus das du nur trollst und weisst das du bloedsinn schreibst, aber nur fuer den Fall das du das ernst meinen solltest:

    Das ist ganz einfach eine Frage der Prioritaet dann, normal sollte die Sicherheit vor gehen, daher fixt man bugs, man schaut nicht ob bei software die darauf beruht dann was kaputt geht, eventuelle probleme dort fixt dann der hersteller dieser anwendungssoftware.

    Man kann zwar pruefen welche software kaputt geht, man kann diese firmen vielleicht so nen patch frueher zu schicken, das sie dann ihr update auch gleich bereit halten, aber man kann das problem nicht anders loesen, die loesung ist meistens simpel und es gibt nur eine richtige Loesung.

    Man kann so ein patch dann auch einfach nicht installieren wenn es damit probleme gibt, dann kann man den schwarzen peter wenn die ewig brauchen nen ptach fuer den fix raus zu bringen der firma die das nicht gebacken kriegt zu schieben zurecht.

    Wenn aber microsoft gerne den Schwarzen Peter hat und das schlimmste das das sicherheitsloch noch existiert in kauf nimmt um vielleicht andere anbieter nicht vorn Kopf zu stossen, dann stossen sie halt all ihren kunden vorn kopf und dann gibt es auch niemand anders der den schwarzen Peter auf nimmt.

    Als Fanboy kannst du denen ewige Traue geloben und das irgendwie dir schoen reden, fuer die Masse ist es eben die frage brauchen sie sichere Systeme, wenn ja ist windows nicht tragbar.

    Ob das viel bringt sei dahin gestellt, da die Softwarepreferenzen von irgendwelchen Chefs meistens ueber rationale Argumente stehen, aber vielleicht kann man damit mal irgendwann einen Abteilungschef oder irgendwas ins Messer laufen lassen, ihm nen fax schicken und wenn daann was passiert seinem vorgesetzten drauf hinn weisen das man ihn gewarnt hat und das er es ignoriert hat und er die verantwortung traegt.

    Haette da mal kein Problem damit. Selbst wenn man dann weil man kein Jubelperser ist oder irgendwas gefeuert wuerde waere mir das im zweifel egal, aber hei ich wuerde schon gar nie einen job annehmen wo ich software aus redmond administrieren muesste :)

  14. Re: Ordentlich Zeit!

    Autor: Sarowie 04.01.15 - 20:48

    binki schrieb:
    --------------------------------------------------------------------------------
    > ...
    > Wie lang hat es nochmal gedauert, bis die ersten Patches für Shellshock und
    > Heartbleed da waren? 1-2 Tage?
    > ...
    Das ist Apfel mit Birnen vergleichen. Die Fixes waren zwar schnell im Code, es dauerte aber danach auch noch einiges an Zeit bis der Fix getestet, Teil der Distributionen, getestet als Teil der Distribution und schließlich ausgeliefert ist. Aber ja - drei Monate hat es sicher nicht gedauert. Aber eben auch keine ein bis zwei Tage.

  15. Re: Ordentlich Zeit!

    Autor: nille02 04.01.15 - 21:05

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > Dutzende Lücken? Es gibt jeden Tag über 300'000 neue Schadware-Varianten
    > für Windows. Ich bezweifle, dass die alle auf so wenigen Lücken
    > rumrutschen.

    Die 300000 Schädlinge basieren meist auch alle nur auf einer Handvoll Frameworks.

  16. Re: Ordentlich Zeit!

    Autor: pythoneer 04.01.15 - 21:10

    Sarowie schrieb:
    --------------------------------------------------------------------------------
    > binki schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ...
    > > Wie lang hat es nochmal gedauert, bis die ersten Patches für Shellshock
    > und
    > > Heartbleed da waren? 1-2 Tage?
    > > ...
    > Das ist Apfel mit Birnen vergleichen. Die Fixes waren zwar schnell im Code,
    > es dauerte aber danach auch noch einiges an Zeit bis der Fix getestet, Teil
    > der Distributionen, getestet als Teil der Distribution und schließlich
    > ausgeliefert ist. Aber ja - drei Monate hat es sicher nicht gedauert. Aber
    > eben auch keine ein bis zwei Tage.

    Wie ich geschrieben habe, das hat bei ArchLinux wenige Stunden gebraucht.

    EDIT:
    Ich habe jetzt doch noch mal nachgesehen.

    Als CVE-2014-6271 am/um 2014-09-24 14:00 UTC veröffentlicht wurde war es zwei Minute und fünf Sekunden später im Testzweig und 25 Minuten später im regulären. 36 Stunden später kamen die weitern Fixes



    1 mal bearbeitet, zuletzt am 04.01.15 21:12 durch pythoneer.

  17. Re: Ordentlich Zeit!

    Autor: pythoneer 04.01.15 - 21:13

    Ich habe noch mal nachgesehen:

    Als CVE-2014-6271 am/um 2014-09-24 14:00 UTC veröffentlicht wurde war es zwei Minute und fünf Sekunden später im Testzweig und 25 Minuten später im regulären. 36 Stunden später kamen die weitern Fixes

  18. Re: Ordentlich Zeit!

    Autor: MarioWario 04.01.15 - 21:37

    Wäre sinnvoll - zumindest ein Maintainer-Team…

  19. Re: Ordentlich Zeit!

    Autor: pythoneer 04.01.15 - 21:40

    MarioWario schrieb:
    --------------------------------------------------------------------------------
    > Wäre sinnvoll - zumindest ein Maintainer-Team…

    Microsoft hält nicht so viel von Security-Teams und schafft sie lieber ab.

  20. Re: Ordentlich Zeit!

    Autor: StopTrolling 04.01.15 - 23:08

    pythoneer schrieb:
    --------------------------------------------------------------------------------
    > Ich habe noch mal nachgesehen:
    >
    > Als CVE-2014-6271 am/um 2014-09-24 14:00 UTC veröffentlicht wurde war es
    > zwei Minute und fünf Sekunden später im Testzweig und 25 Minuten später im
    > regulären. 36 Stunden später kamen die weitern Fixes

    Niemand schreibt einen Patch in zwei Minuten, dass reicht ja nicht mal um sich die Bug-Meldung durchzulesen. Der Patch muss von jemandem gekommen sein, der die Meldung vorher schon kannte und dementsprechend einen Patch vorbereitet hat. Damit ist die ganze Zeitgeschichte obsolete.
    Und 25 Minuten von Testing in Stable, wer soll da getestet haben. Von den 25 Minuten gehen ja noch Zeit zum kompilieren ab, dann müssen die ganzen Tests durchlaufen und irgendwer müsste auch noch einen Test für den Bug selbst schreiben.

    Also die ganzen Zeitangaben sind witzlos. Das ist niemals die Zeit die die von der Meldung des Problems bis zum Patch gebraucht haben.

  1. Thema
  1. 1
  2. 2

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. SAP PP Berater (m/w/x)
    über duerenhoff GmbH, Raum Göttingen
  2. DV-Organisator (m/w/d)
    Vier-Tore-Stadt Neubrandenburg Eigenbetrieb Immobilienmanagement, Neubrandenburg
  3. Software Quality Assurance Specialist / Softwaretester (m/w/d)
    Human Solutions GmbH, Kaiserslautern
  4. IT-Service Desk Agent (m/w/d) 1st Level-Beschaffung
    HÜBNER GmbH & Co. KG, Kassel-Waldau

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. ab 49,99€ (Bestpreis, UVP 69€)
  2. (u. a. Gigabyte RTX 3060 Ti für 522€, Azza Storm Big Tower für 99€)
  3. (u. a. Hyte Y60 Tower-Gehäuse für 189,90€, Seagate ext. HDD 16TB für 299€)
  4. 859,95€ (günstig wie nie)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Return to Monkey Island angespielt: Schön, mal wieder hier zu sein
Return to Monkey Island angespielt
Schön, mal wieder hier zu sein

Guybrush Threepwood ist zurück - und mit ihm sein Erfinder Ron Gilbert. Aber ist das neue Monkey Island auch so gut wie seine Vorgänger?
Eine Rezension von Daniel Ziegener

  1. Boox Mira im Test Ein Display wie aus Papier

Mindaugas Mozuras: Niemand hat je ein perfektes Stück Software geschrieben
Mindaugas Mozuras
"Niemand hat je ein perfektes Stück Software geschrieben"

Chefs von Devs "Effizienz, Pragmatismus und Menschlichkeit" sind für den VP of Engineering der Onlineplattform Vinted die wichtigsten Aspekte bei der Führung eines Entwicklerteams.
Ein Interview von Daniel Ziegener

  1. Ransomware-Angriff Wenn plötzlich nichts mehr geht
  2. Code-Genossenschaften Mitbestimmung und Einheitsgehalt statt Frust im Hamsterrad

Retro Computing: Warum habe ich 2001 kein iBook gekauft?
Retro Computing
Warum habe ich 2001 kein iBook gekauft?

Die Geschichte eines PC-Fehlkaufes und ein Blick auf die Apple-Alternative 20 Jahre später.
Ein Erfahrungsbericht von Martin Wolf

  1. OpenCore Legacy Patcher Entwickler wollen MacOS Ventura auf Uralt-Macs bringen
  2. Apple MacOS Ventura kann nicht mehr bei Analog-Modems helfen
  3. Apple MacOS Ventura will Passwörter abschaffen