Video: Heartbleed Exploit - Discovery & Exploitation (November 2024)
Tidak semua kelemahan kritikal harus dibandingkan dengan Heartbleed untuk diambil serius. Malah, tidak ada keperluan untuk membuka Heartbleed atau Shellshock apabila terdapat kecacatan perisian baru yang memerlukan perhatian segera.
Minggu lalu, Microsoft menambal kelemahan serius dalam SChannel (Secure Channel) yang telah wujud dalam setiap versi sistem operasi Windows sejak Windows 95. Penyelidik IBM melaporkan pepijat itu kepada Microsoft pada bulan Mei, dan Microsoft menetapkan isu itu sebagai sebahagian daripada November Patch Tuesday release.
Penyelidik IBM Robert Freeman menyifatkan kelemahan itu sebagai "jarang berlaku, " seperti bug unicorn."
Pengguna perlu menjalankan Pembaharuan Windows pada komputer mereka (jika ia ditetapkan untuk dijalankan secara automatik, semuanya lebih baik) dan pentadbir harus mengutamakan patch ini. Sesetengah konfigurasi mungkin menghadapi masalah dengan patch dan Microsoft telah melancarkan penyelesaian untuk sistem tersebut. Segala-galanya dijaga, kan?
FUD Rears Its Ugly Head
Nah, tidak cukup. Faktanya, ada-tujuh bulan kemudian! -Pada beberapa komputer yang tidak remeh masih menjalankan Windows XP, meskipun Microsoft mengakhiri sokongan pada bulan April. Jadi mesin XP masih berisiko serangan eksekusi kod jauh jika pengguna melawat laman web yang terperangkap dengan booby. Tetapi untuk sebahagian besar, kisah ini sama seperti setiap bulan: Microsoft menetapkan kelemahan kritikal dan mengeluarkan patch. Patch Selasa perniagaan seperti biasa.
Sehingga tidak. Mungkin para profesional keselamatan maklumat kini begitu janggal yang mereka fikir mereka harus menjual ketakutan sepanjang masa. Mungkin hakikat bahawa kelemahan ini diperkenalkan ke dalam kod Windows 19 tahun yang lalu mencetuskan beberapa jenis Heartbleed-flashback. Atau kita mendapat titik di mana sensasionalisme adalah norma.
Tetapi saya terkejut melihat tanah berikut di dalam kotak masuk saya dari Craig Young, penyelidik keselamatan dengan Tripwire, mengenai patch Microsoft: "Heartbleed kurang berkuasa daripada MS14-066 kerana ia adalah 'hanya' satu bug pendedahan maklumat dan Shellshock adalah jauh dieksploitasi hanya dalam subset sistem terjejas."
Ia menjadi satu jenaka-satu yang sedih jika anda berfikir tentang hal itu-bahawa untuk apa-apa kelemahan untuk mendapatkan apa-apa jenis perhatian, kita kini perlu mempunyai nama mewah dan logo. Mungkin yang seterusnya akan mempunyai band tembaga dan jingle yang menarik. Sekiranya kita memerlukan perangkap ini untuk mendapatkan orang ramai untuk mengambil serius keselamatan maklumat, maka ada masalah, dan itu bukan bug itu sendiri. Adakah kita mendapat titik di mana satu-satunya cara untuk menarik perhatian kepada keselamatan adalah menggunakan gimik dan sensasi?
Keselamatan Bertanggungjawab
Saya suka perkara berikut: "Ini adalah pepijat yang sangat serius yang perlu ditapis dengan serta-merta. Untungnya, ekosistem kemas kini platform Microsoft menyediakan keupayaan untuk setiap pelanggan ditambal untuk kelemahan ini dalam beberapa jam menggunakan Kemas Kini Microsoft, " kata Philip Lieberman, presiden Perisian Lieberman.
Jangan salahkan saya. Saya gembira Heartbleed mendapat perhatian, kerana ia adalah serius dan perlu untuk menjangkau orang di luar komuniti infosec kerana kesannya yang luas. Dan nama Shellshock-dari apa yang saya boleh tahu-keluar dari perbualan Twitter membincangkan kekurangan dan cara mengujinya. Tetapi tidak perlu memanggil kelemahan SChannel "WinShock" atau untuk membahaskan keseriusannya berkaitan dengan kelemahan tersebut.
Ia boleh, dan harus, berdiri sendiri.
"Kerentanan ini menimbulkan risiko teori yang serius kepada organisasi dan harus ditambal dengan secepat mungkin, tetapi ia tidak mempunyai kesan masa yang sama seperti kebanyakan kelemahan yang baru dipublikasikan baru-baru ini, " Josh Feinblum, naib presiden keselamatan maklumat di Rapid7, menulis dalam catatan blog.
Lieberman membuat pemerhatian yang menarik, mencatatkan bahawa kelemahan SChannel tidak seperti Heartbleed kerana ia tidak seolah-olah setiap vendor sumber terbuka atau perisian pelanggan terpaksa membetulkan isu itu dan melepaskan patch mereka sendiri. Perisian komersil dengan mekanisme penyampaian tampalan yang ditetapkan seperti apa yang telah ada di Microsoft bermakna tidak perlu risau tentang "komponen hodge-podge dari berbagai versi dan senario patch."
Tidak kira jika ia sukar (kata IBM) atau perkara remeh (kata Mitra iSight) untuk mengeksploitasi. Obrolan dalam talian menunjukkan ini hanyalah hujung gunung ais, dan kerentanan SChannel mempunyai potensi untuk mencetuskan kekacauan besar. Ia adalah pepijat yang serius. Mari kita bincangkan isu ini dengan merit sendiri tanpa perlu takut terhadap taktik.
