Comments 69
ей подвержены все поддерживаемые Microsoft версии Windows, включая WIndows 10, Windows 11 и даже Windows Server 2022.Семёрка тоже? ЕМНИП она поддерживается, но только для тех кто занёс в Microsoft. Хотелось бы пропатчить от публично доступного 0-day те машины на которых нет возможности установить что-либо новее чем Windows 7.
На семёрку разве ставится Edge?
Официально Edge можно установить на 7 и выше.
На их сайте есть линки и на Wiki тоже указано.
Хотелось бы пропатчить
Думаю, что как только исправление появится, оно будет включено в состав UpdatePack7.
"а за 0-day уязвимости с $10 тыс. снизила выплаты до $1 тыс."
"что за последний год выплатила сторонним специалистам по безопасности и IT-экспертам около $13,6 млн "
до 1360 уязвимостей 0-day, неплохо
А почему до конца цитату то не скопировать?
Выплаты не только за 0-day если что, ваши расчеты неверны.
А, ну классно, за прошедший год внешними исследователями обнаружено в сумме 1360 свежих 0-day и остальных протухших уязвимостей. Обнадеживающая поправка...
"Если бы строители строили дома так, как программисты пишут программы, то первый залетевший дятел разрушил бы цивлизацию" (c)
Цыплят по осени считают. Много Вы обрушившихся зданий знаете? А багов в Windows? :)
А давайте сравним ответственность программиста и строителя. Назовите мне программы с хотя бы годом гарантии? А на новые дома и 3 года дают.
Зря смеётесь, кстати. Здание, в котором я вырос — типичная советская панелька, 1976 (+/-), что ли, года постройки. Все ещё стоит, и в нём, кстати, одни люди живут, а другие клеят объявления "куплю квартиру в вашем доме".
Видите ли, мой отец — инженер-строитель (был, царствие ему небесное). И он говорил, что эти панельки по проекту рассчитаны на срок службы в 20 лет (потому как через 20 лет государство планировало переселить народ в что-нибудь ещё более поприличнее, а эти коробки снести). Они потому и панельки, что рассчитаны на быструю сборку, чтобы их быстро понастроить 100500 штук и расселить в них народ изо всяких бараков с "удобствами" известно где.
Потому и пошли (в частности, по Москве) лет так десять назад обрушения — проектный ресурс выработан, и те, что были построены похуже, начали разваливаться.
Скоро за 0-day будут вообще шоколадку выдавать такими темпами :)
Большое человеческое спасибо
Скупой платит дважды - не вчера было сказано.
что-то MS реально жадничает, причем на такой важной вещи.
а теперь "рыночек порешает", за 0-day уязвимость в даркнете исследователю заплатят всякие трояно-крипто-шифровальщики побольше чем 1000 баков...
По ходу, с точки зрения русскоязычных сотрудников Microsoft имя исследователя получится говорящим.
Ок, MS пожадничали. Но это что, повод свинью всем подкидывать?
Или теперь теракты с невинными пострадавшими, но во имя благой цели это нормально?
Снова двойные стандарты? Он типа не террорист, он борец за свободу (веру, ислам и т.п.)?
Ни одного коммента , осуждающего этого Насери. Дожили, блин.
К этому давно пора привыкнуть, ведь "это другое"
Соглашаясь с вами в сути не могу не спросить: а как же базовые свободы человека? Человек добыл знания и что хочет с ними то и делает. Может продать хоть производителю хоть частному лицу, может всем подарить. Что именно и на каких законных ли или моральных основаниях должно его остановить? Мне кажется что ответ не очевиден на первый взгляд произошло вполне "рыночное" действие направленное против "демпинга" Микрософта. И даже вполне моральное - уязвимость не продана втихую в даркнете. Другими словами если Микрософт не хочет устранять ошибки планово, то теперь будет устранять в авральном прядке всего за $10000.
Ну и какие это "невинные" пострадавшие то? Сами выбрали и взрастили Микрософт, сами теперь и принимают последствия своего выбора быть на технологическом острие.
Не сочтите за троллинг. Это приглашение к публичному размышлению.
Человек добыл знания и что хочет с ними то и делает.
Человек сам, своими собственными руками выточил пистолет, смешал порох, и что хочет с ними, то и делает.
Однако уголовному кодексу почему-то что-то здесь не нравится.
Закон грубоватое, но действенное средство ограничения нежелательного поведения.
Но тут то ... ну он написал в интернете что селитра с сахаром взрывается.
Только не пытайтесь сплавить то и другое в шашку...
То была аллюзия на перестроечные взрывы в подвалах жилых домов. В девяностых, кажется. Голова сама достала. Хотя вроде и не очень уместно.
Но спасибо. Информация всегда полезна. Хотя мне всегда казалось, что всякое горящее в замкнутом объеме может и бабахнуть.
Ракету что ли с детьми на старости лет сделать?
Спасибо. Интересная точка зрения. А так ли не виноваты взорванные торговцы на рынке, что их взорвали? Может они пророка хулили сами корыстные дальше некуда и деньги не тому платили?
Тут и появляются те самые двойные стандарты.
Кто дал прав этому Насери решать, виноваты они или нет? Взрывать по-любому нельзя. Но в некоторых случаях можно?
Морально ли делать гадости всем, для удовлетворения собственных амбиций или из желания "принести свет знаний"?
Так он и не взрывал. Судя по квалификации данного специалиста, у него должна быть высокая квалификация в техническом плане. Я думаю он хочет, чтобы его оценили по достоинству. А по скольку он решил, что его не оценили, он снова пошел по наиболее гуманному пути - сообщить об уязвимости всем, а не продать в даркнете. Тем самым стимулируя ускорение выхода патча.
И раз мы тут начали придумывать аналогии этой ситуации, то как бы поступили Вы, если бы за проделанную Вами сложную работу, Вам заплатили в 10 раз меньше?
Аналогии - штука сложная и опасная, всегда можно истолковать по разному.
В данном случае чувак реально сделал гадость всем обычным пользователям. Чем это отличается от "взрывал" ? Разве что уровнем ущерба. Теперь любой мамкин хакер имеет инструмент, которого у него не было. И ответственность за то, что он там с ним будет делать целиком на Насери. Нечего "обезьянам гранаты раздавать". Упс, это опять аналогия. Надеюсь, защитники обезьян в этом треде не появятся.
Стимулировал выход патча? - Нет. Скорее стимулировал вывод в свет авральных костыльных решений.
Удовлетворил таким образом ЧСВ? - Да.
Меня удивляет количество защитников Насери. Следующим шагом будет оправдание других однозначно противозаконных и аморальных действий. Человека же обидели, имел право! - Тут есть ошибка в логике? Я не вижу.
PS В случае "мало заплатили" я точно не пошёл бы раздавать учетные записи и доступы к системам кинувшего меня работодателя.
Вы немного смешали две моих мысли, высказанные на два ваших.
Насери не взрывал, а сказал что вот есть селитра и сахар. А мешать или следить за мешками в вашем подвале - ваше право. И мне непонятно где бОльшее зло знают все про уязвимость или знают не все.
Пострадавших нет, но пользователи windows как и любого другого массового ПО понимают что они при вездесущем интернете рискуют. Чтоб не закрывать глаза, а принять риски?
Ну и, наконец, вы про мораль вспомнили. А какую мораль? Почему человек сам не выбирает себе мораль и просто у вас и у Насери разные морали? В конце концов вы живете в разных общества и выросли в разных культурах. Кто аморален в росте цен (заметная для меня гадость) на еду в последний год? Что кушать Насери, если его доход упадет в 10 раз?
Есть пострадавшие. Выкладывать 0-day - аморально.
"Он взорвал толпу с поясом шахида потому, что в его системе ценностей и морали это было правильно. А ещё ему было не на что купить покушать." - стоит довести вашу идею до абсурда, как её смысл становится прозрачен.
Обиделся - можешь творить что угодно. Беззубое толерантное общество поймёт и простит.
Не знаю про пострадавших, но в моей системе ценностей и при моем понимании технологий это тоже аморально.
НО! Я вижу типовую капиталистическую систему ценностей, и вижу в этом действие нормальный обычный элемент торговли. Примерно такое же как уничтожение излишек товара при перепроизводстве для сохранения цены на рынке.
Попробуйте перестать возмущаться и подойдите к ситуации как к математической задачке (на осознание и уточнение своих и чужих ценностей). Какой завет он нарушил с вашей точки зрения?
Это не двойные стандарты.
Просто Вы исходите из того, что до публикации этой уязвимости о ней не было известно широкому кругу лиц. Это неверный подход. Исследователь не "изобрёл" уязвимость, он её "открыл". Уязвимость существовала неопределённо долгий срок и до её обнаружения исследователем. Нет никаких гарантий, что уязвимость не внедрили на стадии разработки специально, или она не была обнаружена прежде ещё кем-то. Нет никаких гарантий, что эта уязвимость не использовалась ранее, и не продолжает использоваться до сих пор.
Всякая оценка безопасности системы, вне зависимости от того, закрыт, или открыт её исходный код, должна проводиться с позиции, что обо всех уязвимостях, известных и неизвестных Вам, уже обнаруженных и ещё не обнаруженных, всё известно злоумышленникам, и эти уязвимости ими активно используются. Если же об уязвимости стало известно Вам, то у Вас появляется потенциальная возможность нивелировать ущерб причиняемый системе, путём закрытия уязвимости, отслеживания фактов использования, оценки уже нанесённого ущерба, временного отказа от использования уязвимого сервиса, или минимизации риска эксплуатации уязвимости, с помощью изменения настроек уязвимого сервиса. С этой позиции, всякое разглашение информации об уязвимости есть благо, так как информация разглашается именно Вам, чтобы Вы смогли защититься. С этой позиции, злоумышленникам эта информация не нужна, так как им она известна в много более полном объёме, с самого момента появления уязвимости.
Именно поэтому считается, что безопасность систем с закрытым исходным кодом, ниже безопасности систем с открытым исходным кодом. Неспециалисты часто рассуждают так: если исходный код системы открыт, то злоумышленникам легче найти уязвимости, а если закрыт - то сложнее. На самом же деле, с позиции формальной информационной безопасности, злоумышленники не нуждаются в поиске информации об уязвимостях - им и так эта информация доступна. Они уже знают обо всех существующих (а не только обнаруженных) уязвимостях, равно как и о способах их эксплуатации. В информации об уязвимостях, с формальной точки зрения, нуждаются сами пользователи и авторы программных систем. Но вот найти уязвимости и исправить, или минимизировать ущерб, пользователям, в случае закрытого исходного кода, гораздо сложнее, и, как следствие, ущерб от эксплуатации этих уязвимостей злоумышленниками выше.
Злоумышленники, конечно, часто хорошо знают как и где искать уязвимости, но это ни в коем случае не значит, что у них есть хрустальный шар показывающий все 0-day во всех продуктах. Черный рынок 0-day тому подтверждение.
И я также считаю, что исследователь поступил несколько аморально. Если ему уменьшили выплату, то логично перестать работать с этой компанией - им же хуже. Либо найдутся те кого устроит сумма.
Вы боитесь, что до его предупреждения хакеры не знали, а теперь вот узнали? Скорее всего все немного не так. На черном рынке достаточно большое предложение 0-day уязвимостей, а это значит, что весьма вероятно уязвимость во всю используется… Наоборот — сообщив о ней открыто, человек причинил некоторое неудобство Майкрософт, которая теперь должна поторопиться с закрытием, иначе у пользователей могут возникнуть вопросы.
Вообще, на самом деле в каком-то смысле более «аморально» — сообщать компании и только компании! ) На это можно посмотреть как на покупку компанией молчания пен-тестера. Т.е. пользователи все это время подвергались опасности (т.к. их системы были уязвимы), возможно уже понесли издержки из-за ошибок в проектировании, но они об этом могут и не узнать, если пен-тестер тихо сообщит, компания тихо исправит и как будто так и было!) Да, на самом деле большинство уязвимостей публикуется после выхода патча и я несколько сгущаю краски. Но… Не знаю.
Ну во-первых он опубликовал не описание, а эксплойт. Во-вторых, он нарушил правила баг баунти (не раскрывать детали уязвимости до исправления + сколько-то дней), а, в-третьих, да, я считаю, что правильнее для общества не публиковать такую информацию если знаешь, что фикс будет. Одно дело когда компания не сотрудничает, а другое когда тебе не нравится сумма выплаты.
С позицией майкрософт я тоже несогласен, но форма протеста, мягко говоря, сомнительная. А если на то пошло, то почему бы не сделать публичный реестр незакрытых уязвимостей во всем софте - так же будет лучше для потребителей? Или может аукцион уязвимостей, где детали уходят тому кто больше заплатит?
Ну… Весомо. Принимается. Я бы мог сказать, что описание для пользователя требует определенного уровня квалификации, а эксплойт любой желающий может попробовать, убедиться, что проблема есть и требовать с вендора принять меры, но… Все равно ваш аргумент сильный. Опять таки, не смотря на то, что какой-нибудь Кали-линукс позиционируется как инструмент для сетевой БЕЗОПАСНОСТИ и содержит в себе прям целые коллекции известных эксплойтов на все случаи жизни! ;)
>>> Во-вторых, он нарушил правила баг баунти
Если он участвовал в программе (был официально зарегистрирован, получал какие-то материалы/документацию, заключал какой-то договор) — вы безусловно правы. Если он был просто независимым исследователем, то не вполне понятно что значит «правила баг-баунти». В этом термине значимо слово «баунти», т.е. вознаграждение. А если он, допустим изначально никак не планировал получать за это деньги, а именно искал способ показать к чему приведет отказ нормально оплачивать работу пен-тестера — грань тонка…
>>> да, я считаю, что правильнее для общества не публиковать такую информацию если знаешь, что фикс будет
Это позиция с точки зрения общепринятой деловой этики, когда компании взаимовыгодно сотрудничают с пен-тестерами. Речи о благе конечного пользователя тут не идет. Т.е. да — пользователю выгодно, что бы уязвимости закрывали, но публикация уязвимостей в день обнаружения на мой взгляд предпочтительнее: и закроют быстрее и ты будешь знать, что у тебя дырявое и где.
>>> А если на то пошло, то почему бы не сделать публичный реестр незакрытых уязвимостей во всем софте — так же будет лучше для потребителей?
А вот здесь я с вами не согласен! Однозначно — ДА! ЭТо будет для пользователей. Публичный реестр всех найденных/незакрытых уязвимостей всего софта в одном месте был бы весьма полезен. Потому, что кому надо — знают это все и так (и такие реестры существуют и где их посмотреть можно тоже не секрет в принципе) — почему эта информация должна быть закрыта?
>>> Или может аукцион уязвимостей, где детали уходят тому кто больше заплатит?
А вот тут неуместно ставить «или». Потому, что если информация не публична, то уже не так важно у кого она: у вендора, который может не очень торопиться выпустить патч, или сделать его необязательным и вообще может сам приложил руку к этой «уязвимости», или у «того, кто больше заплатил». Плохо, что ее нет у пользователя системы, который собственно и несет все риски/издержки…
но публикация уязвимостей в день обнаружения на мой взгляд предпочтительнее: и закроют быстрее и ты будешь знать, что у тебя дырявое и где.
Не могу с этим согласиться:
не каждый баг можно быстро исправить
есть понятия релизного цикла и цикла выпуска обновлений
нужно время чтобы эти обновления накатить на конечные устройства
Потому, что кому надо — знают это все и так
Ну вы же понимаете, что знает кто-то и знают все - сильно разные вещи. Да, абсолютной безопасности не бывает, какие-нибудь APT, вероятно, в курсе этой уязвимости, но в данном случае вообще получилась реклама.
В итоге разрабы в MS будут в авральном режиме исправлять проблему, админы организаций сначала будут молиться чтобы их до выхода патча не поломали и не зашифровали все диски, а потом будут бегать и все машины руками обновлять. Зато одни "специалисты" съэкономили 9к баксов, а "исследователь" почесал ЧСВ.
Ну и чем это тогда отличается от публикации в открытом доступе всех данных утечек? Если я узнаю что база хабра (допустим с нехешированными паролями) в интернет торчит то я должен буду администрации написать или в сми?
>>>Да, абсолютной безопасности не бывает, какие-нибудь APT, вероятно, в курсе этой уязвимости, но в данном случае вообще получилась реклама.
Смотрите, на конкретном примере: допустим, вы лично пользуетесь софтом в котором есть критическая уязвимость. Вам какой вариант ближе:
1. Уязвимость 0-day, т.е. она не опубликована, о ней «не знает» разработчик (ну по крайней мере не занимается ее ликвидацией) и широкая общественность, но вероятно знают те, кто самостоятельно ее нашел и те, кто смог купить в даркнете у тех, кто нашел самостоятельно. Соответственно вы, если не относитесь к этим категориям, тоже не знаете. И продолжаете спокойно использовать ПО с сопутствующими рисками.
2. Уязвимость найдена по программе баг-баунти, отправлена разработчику, начался, как вы говорите «релизный цикл», но… Вы же сами сказали — не каждый баг можно исправить… Т.е. сколько времени уйдет на устранение, строго говоря не известно. Таким образом об уязвимости знают все люди из пункта 1, плюс разработчик. Вы по-прежнему не знаете ничего и спокойно используете дырявое ПО.
3. Об уязвимости объявили максимально широко. Т.е. о ней знают буквально все. Да, вас может взломать уже не только профессиональный хакер, но и школьник с эксплойтом и вероятность этого значительно подросла. НО! Теперь об этой уязвимости вы ЗНАЕТЕ. Вы можете и должны исходить из того, что любой желающий может ей воспользоваться. И значит, не зависимо от действия разработчика, вы можете принять меры: отказаться от использования ПО, дополнительно защитить критичные данные, запросить рекомендаций разработчика и сроки устранения уязвимости и тп.
Понимаете, если вы говорите, что широкое освещение уязвимости это плохо, вы исповедуете принцип «Безопасность через неясность». В профессиональной среде как правило такой подход считается неприменимым, или ограниченно применимым. И самое главное в нем то, что владелец/пользователь системы в любом случае должен иметь МАКСИМАЛЬНО полное представление об уязвимостях! Иначе это из серии «меньше знаешь — крепче спишь».
>>> Если я узнаю что база хабра (допустим с нехешированными паролями) в интернет торчит то я должен буду администрации написать или в сми?
Ну давайте посмотрим на это с другой стороны… Если она там торчит уже некоторое время, то возможно, она уже разошлась по даркнету и торчит уже не только там, так? Когда лично я узнаю о том, что мой пароль был слит? В лучшем случае — когда хабр все починит и то, если вас как-то не убедят, что не надо поднимать шум — все же починили! Таким образом мой пароль от хабра будет доступен не только мне, но я об этом знать не буду и буду продолжать им спокойно пользоваться. А если я не следую правилу «никогда не используй одни и те же пароли», то не только на хабре.
Если же вы напишите об это в СМИ — тема получит широкую огласку и я об этом тоже узнаю. Да — после этого базу ТОЧНО сольют все кулхацкеры мира, но… Тем больше у меня причин никогда и нигде этот пароль больше не использовать. Таким образом лично у меня проблем будет меньше, а пострадает только репутация Хабра. Лично мне моя безопасность дороже!
аукцион уязвимостей, где детали уходят тому кто больше заплатит?
А вот это по-нашему, по-капиталистически! Рыночек порешает!
(Бамбарбия кергуду, если что. Шютка.)
Ну во-первых он опубликовал не описание, а эксплойт
УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ
До 4х лет, а аморально или не аморально - это дело десятое.
Растёт количество обнаруженных уязвимостей при фиксированном бюджете.
И их количество,судя по всему, продолжит расти.
Крутяк, можно левый софт ставить на машины с корпоративным локом.
Как это ни прискорбно, но MS не только занижает ценность услуг исследователей, но иногда попросту пытается "опустить ниже плинтуса" реальную важность найденной уязвимости. Непонятно, или они специально провоцируют на то, чтобы уязвимость таки была применена, для того, чтобы они "прозрели" или просто нанимают не очень адекватных специалистов, в обязанности которых входит оценка серьёзности найденной уязвимости. Вот просто интересно, почему так. Когда находишь серьёзнейшую уязвимость и затем находишь способ демонстрации её таким образом, чтобы не написать ни строчки вредоносного кода, используя их же программные средства для демонстрации, они "прикидываются валенками", делая вид, что не понимают, что речь об уязвимости в ядре, а не в какой-то их утилите, которая просто используется для того, чтобы не было предъявлено впоследствии написание вредоносного кода. Не удивлён, что у кого-то просто не выдержали нервишки и человек решил их наказать таким образом, хоть это и крайне непрофессионально. Просто обидно, когда так поступают.
проверил на Win10 21H2 - не фурычит
может быть из-за донастроек защитника (он время скачивания и запуска пришлось отключить временно, так как распознавал файл как троян)
В знак протеста против сокращения выплат bug bounty исследователь выложил эксплойт на уязвимость нулевого дня Windows