Comments on: איך לא סוגרים חור אבטחה

By: עמרי

עמרי — Mon, 06 Aug 2007 21:20:45 +0000

אורן, כן - יש מקרים.
אם הדפדפן קורס כתוצאה מנתונים (HTML) בעייתי, אז בהרבה מקרים אפשר לגרום לו להריץ קוד אוטומטית, על הדרך.
הכל תלוי בגורם של הקריסה.
אם תסתובב במעגלים הנכונים גם תוכל לשים את הידיים שלך על כאלו אקפלוייטים עוד לפני שMS מוציאה להם טלאים.
יש שוק שלם של כאלו אקספלוייטים.

לגבי זה שנגד שהנדסה חברתית אין להם מה לעשות, אני לא מסכים:
אם הדפדפן לא יציע למשתמש להריץ את הקובץ בלחיצת כפתור אלא יכריח אותו לשמור אותו ואז להריץ, כבר מנעת הפעלה של 90% המשמתמשים הטפשים.
משתמשים פחות טפשים אולי גם ידעו להיזהר.

אני לא חושב שפילטור של IM זה תותח כבד, נראה לי יותר כמו איזה תוצר של ישיבה של כמה משועממים.
קל לראות איך דיון על תולעת שמתפשטת דרך המסנג’ר יצוף בישיבת סטטוס, ואיך מישהו יציע לחסום את הכתובת הבעייתית “כפתרון זמני, עד שהחברה’ באבטחה יתקנו את זה באמת”.

By: אורן

אורן — Mon, 06 Aug 2007 20:17:07 +0000

זה לינק לכתובת HTTP,
כלומר זה יכול להיות אחד משני דברים:
- קובץ HTML, שבסיכוי רב אינו מהווה סיכון אבטחה משמעותי, אבל שאולי מפנה להתקנה של תוכנה זדונית.
- תוכנה זדונית במסווה של PHP, שצריך להוריד ולהריץ.

מרגע שזה מגיע ליוזר שמריץ תוכנה זדונית בעצמו, כבר לא מדובר ממש בפרצת אבטחה אלא יותר ב- social engineering, ולזה אין למיקרוסופט פתרון יותר טוב מלפלטר. (כמובן שמערכת הפעלה אמיתית לא הייתה נותנת הרשאות גבוהות למשתמש, ותוכנה זדונית הייתה מוגבלת על ידי מערכת ההפעלה).

אתה מכיר מקרים שבהם URL מוביל באמת לניצול חולשה של אקספלורר או ווינדוס? (אבל משהו רציני, לא סתם מקריס אותו)
ברור שקיימים, למשל יש גם חורי אבטחה בפלאש, אבל פשוט לא שמעתי על משהו באמת רציני (remote exploit שמריץ פקודה על הקליינט) שמצריך תותח כבד כמו פילטור של IM).

By: עמרי

עמרי — Mon, 06 Aug 2007 18:15:19 +0000

אורן, קרוב לוודאי שזה לא באמת קובץ HTML אלא משהו שמזמין את המשתמשים התמימים של אקספלורר להריץ איזה “כרטיס ברכה” או “חייגן לפורנו חופשי”.

By: אורן

אורן — Mon, 06 Aug 2007 18:03:01 +0000

נשמע לי מוזר שקובץ HTML ספציפי יהווה סיכון אבטחה לאקספלורר, ועוד אחד בשם gallery.php ששייך באמת ל- gallery.sf.net שכנראה ברוב המוחלט של ההתקנות שלו אינו פוגע באקספלורר.
אני יודע שגוגל חוסמים מדי פעם כתובות כאלו (כמו למשל עמודי ה- PHP של PhpBB), כי אנשים או בוטים יכולים
להשתמש בגוגל כדי למצוא אתרים שמותקנת עליהם הגרסה הפגיעה הספציפית.
האם ייתכן שמיקרוסופט חוסמים URLים שפוגעים *בשרתים* שמריצים את המערכות, ובעצם מונעות לא פגיעה במחשב הלקוח אלא DDoS המוני?

לא לשכוח שמדובר פה במסות - אם הם אכן מנעו מהאחוזון הטיפש ביותר של המשתמשים שלהם (רק כמה מיליונים מיליונים) להפיץ תולעת, אולי זה רעיון טוב.

מה שכן, כנראה שהיו יכולים לזהות את ה- URL הזדוני המלא, ולא סתם gallery.php…

אבל כל רעיון ה- DDoS הוא רק ניחוש.

By: bug

bug — Mon, 06 Aug 2007 14:29:51 +0000

האמת שהם חסמו גם דף פרופיל מסכן שלי באתר שמסתיים ב .net בכלל.
profile.php במילים אחרות :\

By: עמרי

עמרי — Mon, 06 Aug 2007 12:37:58 +0000

תומר, יש לי קובץ בשבילך, dir2.com
קונה?

By: תומר

תומר — Mon, 06 Aug 2007 12:15:32 +0000

למה שיחסמו מתחמי com? אייסיקיו עשו את זה לפניהם!

By: יהונתן

יהונתן — Mon, 06 Aug 2007 12:11:09 +0000

לפחות הם לא חוסמים מתחמי .COM למרות שגםם אלו אמורים להיות חור אבטחה, לא?

By: עמרי

עמרי — Mon, 06 Aug 2007 11:22:51 +0000

חלילה.
חוץ מחנית.

By: תומר

תומר — Mon, 06 Aug 2007 11:20:52 +0000

חנית וכל שאר בעלי מתחמי האינפו בארץ הם L33T H4XORs, כדבריך? (דווקא נשמע נחמד להתחיל לקרוא לה “חנית הזבלנית”, אבל צריכים למצוא סיבה לשם כזה, כאשר עכשיו אפילו אקזימט לא חוסם אותה.)