Security Week 37: патчі Windows стануть кумулятивнее, Google проти HTTP уразливість в MySQL

З жовтня Microsoft змінює політику доставки відновлень для ряду операційних систем (новость пост на Technet). З метою спрощення процесу оновлення (і, ймовірно, за численними заявками трудящих) Windows 7 і 8.1, а також Windows Server 2008 і 2012 будуть оновлюватися одним великим патчем раз в місяць. Переваги такого підходу очевидні: досить подивитися на дату останнього оновлення, щоб зрозуміти актуальність встановлених патчів.

Очевидні і недоліки: можливість установки патчів за вибором більше не буде, все буде завантажуватися і ставитися одним шматком. Якщо якийсь патч виявляється несумісним з установленим або певними настройками системи — можна буде відмовитися тільки від всього щомісячного апдейта відразу. Саме з установкою за вибором Microsoft і планує боротися: адже по суті такий підхід призводить до фрагментації, замість однієї версії Windows доводиться мати справу мало не з десятком, що ускладнює і підтримку, і тестування.

Втім, залишається одна лазівка: кумулятивний патч включає в себе і оновлення безпеки, і оновлення, спрямовані на підвищення надійності роботи. Можна вибрати і встановлювати тільки security-фікси і більше нічого, але ця опція розрахована на клієнтів з числа великих компаній. Нова політика може вийти боком при використанні спеціалізованого софту з жорсткими вимогами щодо сумісності. Прикладів, коли вихід патча ламав сумісність чимало: можна згадати проблеми з софтом від Citrix після апдейта Windows 10, або скажімо поломку системи конфігурації через Powershell (ось тут цікавий момент — за посиланням ліва рука Microsoft скаржиться на баги у правій).

Зміни політики оновлень Microsoft відображають поточний стан битви між надійністю і безпекою. Максимально надійний софт, який не оновлюється роками, він максимально небезпечний. У ситуації, коли виявлення нових вразливостей (та й просто багів) неминуче доводиться робити вибір, і Microsoft робить вибір на користь захисту від злому. Це похвально, але ось цікава ситуація виходить: щомісяця новий набір патчів для Android знову піднімає тему фрагментації, адже на десктопах-то це куди більш серйозна проблема. З точки зору безпеки ідеальний сценарій — це доставка оновлень (як мінімум — латочок) в момент їх готовності (ну типу як в Gentoo). Саме таку стратегію, з регулярними вибухами невдоволення користувачів, застосовує, наприклад, Facebook. Обидва ідеальних сценарію (максимум надійності або максимум безпеки) недосяжні, але правильний баланс потрібно шукати. Не виключено, що тут стане в нагоді досвід вендорів захисного софта: вони в силу специфіки роботи розсилають оновлення кілька разів в добу вже багато років.

Розкрита інформація про критичної уразливості в Oracle, MySQL і сумісних продуктах
Новина. Исследование Legal Hackers.

Дослідник Давид Голунски з творчого об'єднання Legal Hackers на цьому тижні частково розкрив інформацію про серйозної уразливості в Oracle, MySQL, яка також зачіпає залежні продукти, зокрема MariaDB і PerconaDB. Ця новина непогано доповнює попередню і також піднімає питання про необхідність стандарту як для доставки патчів, так і для розкриття інформації про уразливість. Баг в MySQL (CVE-2016-6662, схильні до версії 5.7.15, 5.6.33 і 5.5.52) дозволяє впроваджувати закладки в конфігураційні файли СУБД, що в свою чергу може призвести до виконання довільного коду під час найближчого перезапуску. Уразливість може бути задіяна як при наявності доступу до сервера, так і віддалено, у разі небезпечною конфігурації системи (доступ на запис в конфіги у користувача mysql).



Детальніше про сценарії (досить нетривиальном) експлуатації уразливості можна почитати за посиланням вище. Важливий момент полягає в тому, що патчі у сумісного ПО вже є, а от для самої MySQL — поки немає, і мабуть не буде до 18 жовтня. Справа в тому, що Oracle випускає латочки на поквартальній основі, і до наступного релізу (попередній у липні закрыл 276 вразливостей) нічого не станеться. Виникає питання — а чому, власне, дослідник розкрив інформацію до випуску патчів? Аргументація з цього боку наступна: уразливості закриті в сумісному З (а отже зловмисник може отримати інформацію про вразливості, проаналізувавши зміни), а з моменту надсилання інформації вендору минуло 40 днів.

40 днів — це в даному випадку виразно не аргумент, а ось випуск патчів однієї дірки різними вендорами вроздріб мабуть дійсно становить проблему. Виходить, що всі гарні. Ласкаво просимо в дивний новий, вкрай неритмічний світ безпеки програмного забезпечення. До речі, у Oracle немає публічної програми винагороди за знайдені вразливості, а в минулому році CSO Oracle і зовсім невтішно відгукувалася про вайт-хетах — мовляв, нема чого ламати наші продукти без дозволу. Пост швидко видалили, але осад залишився.

Google Chrome буде позначати HTTP-only сайти як небезпечні
Новина. Посада в блозі Google.

З січня 2017 року Google Chrome почне позначати сайти, що забезпечують підключення тільки по незахищеному протоколу HTTP, як потенційно небезпечні. Зараз Chrome зазначає ці сайти нейтрально (на відміну від безпечних перевірених підключень по HTTPS), але в Google справедливо вважають, що ситуація повинна змінитися. Перехід буде проводитися в кілька етапів, і в січні небезпечними стануть тільки ті сайти, які передають HTTP паролі або дані кредиток (відкритим текстом!), що, звичайно, зовсім вже за межею добра і зла.



У пості команди Google цікавий і такий момент: реакція користувачів на різні методи сортування веб-сайтів була перевірена дослідженням, і, очікувано, звертають увагу тільки на явне повідомлення про проблему. Всі інші «ви знаєте, тут може бути не все добре» ігноруються. Цікаво, як часто ігноруються явні повідомлення про небезпеку? Розробники браузерів виявляються таким чином лицем до лиця з армією користувачів, яка зовсім не зобов'язана розбиратися в тонкощах мережевих протоколів. В результаті доводиться зводити багаторічний досвід захисту інформації в мережі до чогось дуже простим і зрозумілим:



Наступним етапом наступу на плейнтекстовый інтернет стане попередження про всіх HTTP-сайтів інкогніто-режимі, в якому користувачі, по ідеї, повинні більше піклуватися про приватності. І, нарешті, у планах Google поширити політику на всі HTTP-з'єднання для всіх користувачів.

Що ще сталося:
Між тим у Microsoft відбувся останній щотижневий патч за старими правилами.

Троян, маскирующийся під гід для Pokemon Go, протягли в Google Play. 500 000 завантажень.

І на закуску — витік паролів з QIP відкритим текстом.

Давнину
«V-707»

Резидентний не небезпечний вірус. Вражає .COM-файли при їх завантаженні в пам'ять. Змінює перші 5 байт файлу MOV AX, Start_Virus; PUSH AX; RET near) і дописується в його кінець.

Активізується тільки в DOS 3.30, визначає (скануванням пам'яті) точки входу обробників 13-го і 21-го переривання DOS і активно їх використовує при зараженні файлів. Розташований у самих старших адресах пам'яті, коригуючи останній MCB і зменшуючи розмір доступної пам'яті (слово за адресою 0000:0413).

При зараженні веде підрахунок вже заражених файлів, і як тільки зустрічається 30-й заражений файл, встановлює переривання 8h на підпрограму генерації звукового сигналу. Перехоплює int 8 і int 21h.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 89.

Disclaimer: Ця колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.