115 righe
10 KiB
HTML
115 righe
10 KiB
HTML
<?xml version="1.0" encoding="UTF-8" ?>
|
||
|
||
<html newsdate="2009-10-19">
|
||
<head>
|
||
<title>
|
||
Τα Windows 7 επιτίθενται στους καταναλωτές με γνωστό πρόβλημα ασφαλείας
|
||
</title>
|
||
</head>
|
||
<body>
|
||
|
||
<h1>Τα Windows 7 επιτίθενται στους καταναλωτές με γνωστό πρόβλημα ασφαλείας</h1>
|
||
<h2>FSFE: Η αμέλεια της Microsoft υπογραμμίζει την αξία του Ελεύθερου Λογισμικού</h2>
|
||
|
||
<p newsteaser="yes">
|
||
Το τελευταίο λειτουργικό σύστημα της Microsoft, Windows 7, βρίσκεται καθ' οδόν προς την
|
||
αγορά με ένα δυνητικά σοβαρό πρόβλημα. Πριν από την παγκόσμια παρουσίαση του προϊόντος
|
||
την Πέμπτη, το ομοσπονδιακό γραφείο της Γερμανίας για την ασφάλεια στην Πληροφορική (BSI)
|
||
εξέδωσε προειδοποίηση <a href="#foot1" id="anchor1">[1]</a> για ένα υψηλού κινδύνου
|
||
κενό ασφαλείας στο πρωτόκολλο SMB2. Αυτό το πρόβλημα μπορεί να γίνει αντικείμενο
|
||
δικτυακής εκμετάλλευσης για να απενεργοποιήσει έναν υπολογιστή με επίθεση Άρνησης
|
||
Παροχής Υπηρεσιών (Denial of Service, DoS).
|
||
</p><p>
|
||
Αυτό το γεγονός δείχνει πώς το ιδιοκτησιακό λογισμικό συχνά θέτει ένα ρίσκο ασφαλείας.
|
||
"Μόνο η Microsoft μπορεί να διορθώσει το πρόβλημα. Αλλά προφανώς έχουν κλείσει τα μάτια
|
||
τους σε αυτό το κενό ασφαλείας για πολύν καιρό, ελπίζοντας ότι δεν θα προσβάλλει τις
|
||
λιανικές πωλήσεις στην παρουσίαση των Windows 7 αυτήν την Πέμπτη", σημειώνει ο Karsten
|
||
Gerloff, Πρόεδρος του Ευρωπαϊκού Ιδρύματος Ελεύθερου Λογισμικού (FSFE).
|
||
</p><p>
|
||
Ακολουθώντας υπεύθυνες πρακτικές γνωστοποίησης, το BSI δεν έχει δημοσιεύσει λεπτομέρειες
|
||
της ανακοίνωσης που εξέδωσε (<a href="#bsi">δείτε την Ελληνική μετάφραση από το Αγγλικό
|
||
κείμενο παρακάτω</a>) από τις 6 Οκτωβρίου. Ενώ γενικά είναι καλή στρατηγική να δίνεται
|
||
χρόνος στους προμηθευτές για να διορθώσουν προβλήματα ασφαλείας πριν αυτά ανακοινωθούν
|
||
δημόσια, σε αυτήν την περίπτωση το BSI θα πρέπει να εξετάσει τη δημοσιοποίηση όλων των
|
||
λεπτομερειών του προβλήματος για να ασκηθεί μεγαλύτερη πίεση στη Microsoft. Το γραφείο
|
||
δηλώνει ότι η τρύπα ασφαλείας επηρεάζει τα Windows 7 και τα Windows Vista και στις δύο
|
||
εκδόσεις των 32-bit και των 64-bit, καθώς επίσης και τον εξυπηρετητή Windows Server 2008.
|
||
Αυτό το κενό ασφαλείας είναι διαφορετικό από προηγούμενο πρόβλημα με το SMB2
|
||
<a href="#foot2" id="anchor2">[2]</a> για το οποίο η Microsoft δημοσίευσε τη διόρθωση
|
||
MS09-050 τον Σεπτέμβριο.
|
||
</p><p>
|
||
Ο Gerloff από το FSFE εξηγεί: "Το λογισμικό της Microsoft κλειδώνει τους χρήστες του,
|
||
έτσι αναγκάζονται να παραμένουν ακόμη και αν είναι γνωστό ότι η εταιρία τούς εκθέτει
|
||
σε έναν κίνδυνο ασφαλείας όπως αυτόν. Με το Ελεύθερο Λογισμικό όπως το GNU/Linux -
|
||
λογισμικό το οποίο μπορείτε να μελετήσετε, να μοιραστείτε και να βελτιώσετε - πολλές
|
||
ανεξάρτητες οντότητες μπορούν να διορθώσουν ένα πρόβλημα. Οι καταναλωτές δεν θα πρέπει
|
||
να υποστηρίζουν την αδιάφορη συμπεριφορά της Microsoft αγοράζοντας τα προϊόντα της.
|
||
Το Ελεύθερο Λογισμικό προσφέρει μια εναλλακτική λύση και είναι διαθέσιμο από πολλούς
|
||
ανεξάρτητους προμηθευτές".
|
||
</p><p>
|
||
Η Microsoft δεν έχει ακόμη απαντήσει στην προειδοποίηση του BSI. Δεν υπάρχει κάποια
|
||
ένδειξη ότι η εταιρία θα καταφέρει να διορθώσει το κενό ασφαλείας στη ναυαρχίδα των
|
||
λειτουργικών της συστημάτων πριν την παγκόσμια παρουσίαση των Windows 7 αυτήν την Πέμπτη.
|
||
Το κενό ασφαλείας θα παραμείνει ανοιχτό ακόμη και μετά από την ημέρα διορθώσεων της
|
||
Microsoft του Οκτωβρίου.
|
||
</p><p>
|
||
Οι πρακτικές ασφαλείας της εταιρίας είναι επί μακρόν αιτία ανησυχιών. Σε μόλις ένα πρόσφατο
|
||
επεισόδιο <a href="#foot3" id="anchor3">[3]</a>, η Microsoft γνώριζε για άλλο ένα κενό
|
||
ασφαλείας στο SMB2 από τον Ιούλιο του 2009. Ενώ διόρθωσε το πρόβλημα στην τελική έκδοση
|
||
των Windows 7 στις αρχές Αυγούστου, δεν έκανε τίποτα για να διορθωθεί το ίδιο πρόβλημα
|
||
στα Windows Vista ή στον εξυπηρετητή Windows Server 2008 μέχρι που ένας ανεξάρτητος
|
||
ερυνητής ασφαλείας δημοσιοποίησε το πρόβλημα. Ο Γερμανικός ιστοχώρος ειδήσεων Heise
|
||
πιθανολογεί ότι το πρόβλημα κατέληξε σε έναν εσωτερικό κατάλογο της Microsoft με χαμηλής
|
||
προτεραιότητας σφάλματα τα οποία η εταιρία προσπαθεί να διορθώσει σιωπηρά για να αποφύγει
|
||
την αρνητική δημοσιότητα.
|
||
</p><p>
|
||
|
||
<a href="#anchor1" id="foot1">[1]</a> <a href="https://www.cert-bund.de/advisoryshort/CB-K09-0315%20UPDATE%201">https://www.cert-bund.de/advisoryshort/CB-K09-0315%20UPDATE%201</a><br />
|
||
<a href="#anchor2" id="foot2">[2]</a> <a href="http://www.microsoft.com/technet/security/advisory/975497.mspx">http://www.microsoft.com/technet/security/advisory/975497.mspx</a><br />
|
||
<a href="#anchor3" id="foot3">[3]</a> <a href="http://www.h-online.com/security/news/item/Microsoft-has-known-of-the-SMB2-hole-for-some-time-832175.html">http://www.h-online.com/security/news/item/Microsoft-has-known-of-the-SMB2-hole-for-some-time-832175.html</a>
|
||
</p>
|
||
|
||
|
||
|
||
<hr />
|
||
|
||
<h2 id="bsi">Μετάφραση της ανακοίνωσης προβλήματος ασφαλείας από το BSI: </h2>
|
||
<p>
|
||
Επίπεδο απειλής: "4 υψηλή διακινδύνευση" (στην κλίμακα 1-5, με το 5 να είναι "πολύ υψηλή").<br />
|
||
Τίτλος: Microsoft Windows SMB2-Protocol: Άλλο ένα κενό ασφαλείας επιτρέπει άρνηση παροχής
|
||
υπηρεσιών (Windows Vista και Windows 7 ευπαθή).<br />
|
||
Ημερομηνία: 2009-10-06<br />
|
||
Λογισμικό: Microsoft Windows 7, Microsoft Windows 7 x64 Edition, Microsoft
|
||
Windows Vista / SP1 / SP2, Microsoft Windows Vista x64 Edition / SP1 / SP2,
|
||
Microsoft Windows Server 2008<br />
|
||
Πλατφόρμα: Windows<br />
|
||
Αποτέλεσμα: Denial-of-Service<br />
|
||
Εκμεταλλεύσιμο από απόσταση: Ναι<br />
|
||
Διακινδύνευση: υψηλή<br />
|
||
Πηγή: εσωτερική έρευνα<br />
|
||
Περιγραφή:
|
||
</p>
|
||
<p>
|
||
Το Server Message Block (SMB) είναι ένα πρωτόκολλο το οποίο ενεργοποιεί τη διαμοιρασμένη
|
||
πρόσβαση σε εκτυπωτές και αρχεία. Το SMB2 είναι μια νέα έκδσση αυτού του πρωτοκόλλου, το
|
||
οποίο παρουσιάστηκε με τα συστήματα Windows Vista και Windows Server 2008, και το οποίο
|
||
είναι διαθέσιμο και στα Windows 7. Οι τρέχουσες υλοποιήσεις του SMB2 επηρεάζονται από αυτό
|
||
το κενό ασφαλείας. Αυτό είναι ένα νέο κενό ασφαλείας, όχι εκείνο που είχε περιγραφεί στην ανακοίνωση Microsoft Security Advisory 975497. Συνεπώς τα αναφερόμενα λειτουργικά
|
||
συστήματα μπορούν να γίνουν αντικείμενο επιτυχούς επίθεσης ακόμη και μετά την εγκατάσταση
|
||
των ενημερώσεων της ημέρας διορθώσεων της Microsoft του Οκτωβρίου (MS09-050).
|
||
</p><p>
|
||
Προς το παρόν δεν υπάρχει ενημέρωση ή διόρθωση διαθέσιμη από τον προμηθευτή. Οι μόνες
|
||
συνιστώμενες ενέργειες είναι η γνώση και η ιχνηλάτηση του κενού ασφαλείας. Ως πρόχειρη
|
||
αντιμετώπιση μπορεί μόνο να γίνει σύσταση να περιοριστεί η πρόσβαση σε εξυπηρετητές SMB2
|
||
από έμπιστα συστήματα με τείχη ασφαλείας (firewalls), ή να απενεργοποιηθεί η υπηρεσία SMB2.
|
||
</p>
|
||
|
||
</body>
|
||
<timestamp>$Date$ $Author$</timestamp>
|
||
</html>
|
||
<!--
|
||
Local Variables: ***
|
||
mode: xml ***
|
||
End: ***
|
||
-->
|