Video: The Shellshock Bug In About Four Minutes (Oktober 2024)
Ikke enhver kritisk sårbarhed skal sammenlignes med Heartbleed for at blive taget alvorligt. Faktisk er det ikke nødvendigt at få Heartbleed eller Shellshock op, når der er en ny softwarefejl, som kræver øjeblikkelig opmærksomhed.
I forrige uge lappede Microsoft en alvorlig sårbarhed i SChannel (Secure Channel), der har eksisteret i hver version af Windows-operativsystemet siden Windows 95. En IBM-forsker rapporterede fejlen til Microsoft i maj, og Microsoft løste problemet som en del af november Patch tirsdag frigivelse.
IBM-forsker Robert Freeman beskrev sårbarheden som en "sjælden, " enhjørning-lignende "bug."
Brugere skal køre Windows Update på deres computere (hvis det er indstillet til at køre automatisk, desto bedre) og administratorer bør prioritere denne programrettelse. Nogle konfigurationer kan have problemer med patch'en, og Microsoft har frigivet en løsning på disse systemer. Alt er taget sig af, ikke?
FUD tilbageholder sit grimme hoved
Nå, ikke helt. Faktum er, at der er - syv måneder senere! - et ikke-trivielt antal computere, der stadig kører Windows XP, på trods af at Microsoft slutter support i april. Så XP-maskiner er stadig i fare for et angreb på fjernudførelse af kode, hvis brugeren besøger et booby-fanget websted. Men for det meste er historien den samme, som den har været hver måned: Microsoft rettede en kritisk sårbarhed og frigav en patch. Patch tirsdag forretning som sædvanligt.
Indtil det ikke var. Måske er fagfolk inden for informationssikkerhed nu så skæve, at de tror, de skal sælge frygt hele tiden. Måske det faktum, at denne sårbarhed blev introduceret i Windows-koden for 19 år siden, udløste en slags Heartbleed-flashback. Eller så er vi kommet til et punkt, hvor sensationalisme er normen.
Men jeg blev overrasket over at se følgende land i min indbakke fra Craig Young, en sikkerhedsforsker med Tripwire, angående Microsoft-patch: "Heartbleed var mindre magtfuld end MS14-066, fordi det var 'bare' en informationsbegrænsningsfejl og Shellshock var fjernudnyttelig kun i en undergruppe af berørte systemer."
Det er blevet en vittighed - en trist, hvis du tænker over det - at for enhver sårbarhed for at få nogen form for opmærksomhed, skal vi nu have et smukt navn og et logo. Måske har den næste et messingband og en iørefaldende jingle. Hvis vi har brug for disse fangster for at få folk til at tage informationssikkerhed alvorligt, er der et problem, og det er ikke selve bugten. Er vi kommet til det punkt, hvor den eneste måde at henlede opmærksomheden på sikkerhed på er at ty til gimmicks og sensationisme?
Ansvarlig sikkerhed
Jeg kunne godt lide følgende: "Dette er en meget alvorlig fejl, der skal rettes øjeblikkeligt. Heldigvis giver økosystemet til Microsoft-platformopdateringen muligheden for, at hver kunde kan lappes for denne sårbarhed i timer ved hjælp af Microsoft Update, " sagde Philip Lieberman, præsident for Lieberman Software.
Misforstå mig ikke. Jeg er glad for at Heartbleed fik den opmærksomhed, det gjorde, fordi det var alvorligt og nødvendigt at nå ud til mennesker uden for infosec-samfundet på grund af dets vidtgående indflydelse. Og Shellshocks navn - fra hvad jeg kan fortælle - kom ud af en Twitter-samtale, der diskuterede fejlen og måder at teste den på. Men det er ikke nødvendigt at kalde SChannel-sårbarheden "WinShock" eller at diskutere dets alvor i forhold til disse mangler.
Det kan og bør stå på egen hånd.
Josh Feinblum, vicepræsident for informationssikkerhed, ”Denne sårbarhed udgør alvorlig teoretisk risiko for organisationer og bør rettes så hurtigt som muligt, men den har ikke den samme frigørelsespåvirkning som mange af de andre nyligt højt publicerede sårbarheder. hos Rapid7, skrev i et blogindlæg.
Lieberman gjorde en interessant observation og bemærkede, at sårbarheden overfor SChannel ikke var som Heartbleed, da det ikke er som om enhver open-source-leverandør eller klientsoftware skulle løse problemet og frigive deres egen patch. Kommerciel software med definerede patch-leveringsmekanismer, såsom hvad Microsoft har på plads, betyder, at der ikke er behov for at bekymre sig om "en hodge-podge af komponenter i forskellige versioner og patch-scenarier."
Det betyder ikke noget, om det er vanskeligt (siger IBM) eller trivielt (siger iSight Partners) at udnytte. Online chatter antyder, at dette bare er toppen af isbjerget, og sårbarheden med SChannel har potentialet til at skabe et stort rod. Det er en alvorlig fejl. Lad os tale om spørgsmålet på sine egne fordele uden at ty til frygt taktik.
