Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Google: Egy hét a gyártóknak

2013.06.05. 10:00 | buherator | Szólj hozzá!

A Google biztonsági csapatának néhány prominens tagja blogbejegyzésben fejti ki ajánlását, miszerint a gyártóknak illene minden tudomásukra jutott kritikus sérülékenységet 60 napon belül javítani, a hibák felfedezőit pedig arra bátorítják, hogy tegyék közzé a problémák részleteit, ha ennél hosszabb ideig kellene várakozni. Aktív kihasználás alatt lévő sérülékenységek esetében ugyanakkor a keresőóriás szakértői a 7 napos reakcióidőt tartanák megfelelőnek, ami bár kétségtelenül rövid egy javítás elkészítéséhez, kiteszteléséhez, publikálásához és telepítéséhez, arra azonban a szerzők szerint elegendő, hogy a gyártók tájékoztassák ügyfeleiket a problémáról és lehetséges elkerülő illetve kockázatcsökkentő megoldásokról.

Összehasonlítás képpen mai hír, hogy a Schneider Electric egyik ipari vezérlő szoftveréből mostanra sikerült kikapálni egy beégetett hozzáférést, amiről már 2011 decemberében nyilvánosságra került.

A bejegyzés születését egyébként egy újabb, a Google által észlelt 0-day fegyegetés indukálta, mellyel kapcsolatban a cég szakértői már a fent részletezett módon fognak eljárni...

...vagy már el is jártak? Tavis Ormandy múlt hónapban közzétett win32k.sys bugjára a napokban teljesértékű (bár elég megbízhatatlan - nekem még nem sikerült triggerelni) exploit született, a szintén a Google-nél dolgozó szakértő kapcsolódó blogposztjában pedig élesen bírálja a Microsoft biztonsági-kutatásokkal kapcsolatos hozzáállását. A Microsofttól eddig nem érkezett reakció az ügyben.

Szerk: Kapcsolódó flame :)

Címkék: microsoft google windows 0day tavis ormandy schneider electric

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.