视频: Диакритические знаки во французском. Accent aigu, accent grave, accent circonflexe. Видеоурок 1. (十一月 2024)
并非每一个严重的漏洞都必须与Heartbleed进行比较才能得到认真对待。 实际上,当需要立即引起关注的新软件漏洞时,无需提出Heartbleed或Shellshock。
上周,Microsoft修复了自Windows 95以来每个版本的Windows操作系统中都存在的SChannel(安全通道)中的一个严重漏洞。IBM研究人员于5月向Microsoft报告了此错误,Microsoft于11月修正了此问题。补丁星期二发布。
IBM研究员Robert Freeman将该漏洞描述为“罕见的,类似“独角兽”的错误”。
用户需要在其计算机上运行Windows Update(如果设置为自动运行,情况会更好),并且管理员应优先考虑此修补程序。 某些配置可能对该补丁程序有问题,Microsoft已发布了针对那些系统的解决方法。 一切都照顾好了吧?
FUD抬起丑陋的头
好吧,不完全是。 事实是,七个月后!!尽管微软在四月份终止了对Windows XP的支持,但仍然有数量可观的计算机仍在运行Windows XP。 因此,如果用户访问受陷阱诱骗的网站,则XP计算机仍然有遭受远程代码执行攻击的风险。 但是在大多数情况下,情况与每个月都一样:Microsoft修复了一个严重漏洞并发布了补丁。 像往常一样修补星期二的业务。
直到不是那样。 也许信息安全专家现在已经厌倦了,以至于他们认为自己一直都在散布恐惧。 此漏洞是19年前在Windows代码中引入的事实,可能触发了某种Heartbleed闪回。 否则,我们已经到了煽情主义为常态的地步。
但是,我很吃惊地从Tripwire的安全研究人员Craig Young的收件箱中看到了有关Microsoft补丁的以下内容:“ Heartbleed的功能不如MS14-066,因为它只是信息披露错误,而Shellshock仅在部分受影响的系统中可远程利用。”
这已成为一个笑话-如果您考虑一下,这是一个可悲的事情-为了使任何漏洞都受到任何关注,我们现在需要有一个漂亮的名称和徽标。 也许下一个会有一支铜管乐队和一个动听的叮当声。 如果我们需要这些陷阱来使人们认真对待信息安全,那就有问题了,这不是错误本身。 我们是否已经达到了一种引起人们注意安全的唯一方法就是诉诸头和煽情主义的地步?
负责任的安全
我喜欢以下内容:“这是一个非常严重的错误,需要立即进行修补。幸运的是,Microsoft平台更新生态系统提供了使用Microsoft Update在数小时内为每个客户修补此漏洞的能力,” Philip Lieberman说。 Lieberman软件。
不要误会我的意思。 我很高兴Heartbleed获得了它的关注,因为它很严重,并且由于其广泛的影响而需要接触信息安全社区之外的人们。 据我所知,Shellshock的名字来自Twitter的对话,讨论了该缺陷和测试方法。 但是,没有必要将SChannel漏洞称为“ WinShock”,也不必讨论与这些漏洞有关的严重性。
它可以而且应该独立存在。
信息安全副总裁Josh Feinblum表示:“此漏洞给组织带来了严重的理论风险,应尽快进行修补,但不会像其他许多最近广为宣传的漏洞那样具有相同的发布时间影响。”在Rapid7中,写在博客文章中。
Lieberman提出了一个有趣的观察,指出SChannel漏洞与Heartbleed不同,因为它似乎并非每个开源供应商或客户端软件都必须解决此问题并发布自己的补丁。 具有定义的补丁程序分发机制的商业软件(例如Microsoft已有的补丁程序)意味着无需担心“各种版本和补丁程序情况的组件杂乱无章”。
难以利用(说IBM)还是琐碎(说iSight Partners)都没有关系。 在线聊天表明这只是冰山一角,SChannel漏洞有可能造成巨大混乱。 这是一个严重的错误。 让我们单独讨论这个问题,而不求助于恐惧策略。
