ビデオ: Heartbleed demo (十一月 2024)
すべての重大な脆弱性をHeartbleedと比較して真剣に考える必要はありません。 実際、すぐに注意が必要な新しいソフトウェアの欠陥がある場合、HeartbleedやShellshockを起動する必要はありません。
Microsoftは先週、Windows 95以降のWindowsオペレーティングシステムのすべてのバージョンに存在するSChannel(Secure Channel)の深刻な脆弱性にパッチを当てました。IBMの研究者は5月にバグをMicrosoftに報告し、パッチ火曜日リリース。
IBMの研究者Robert Freemanは、この脆弱性を「まれな「ユニコーンのような」バグ」と説明しました。
ユーザーは自分のコンピューターでWindows Updateを実行する必要があり(自動的に実行されるように設定されている場合は、さらに優れています)、管理者はこの更新プログラムを優先する必要があります。 一部の構成ではパッチに問題がある可能性があり、マイクロソフトはそれらのシステムの回避策をリリースしました。 すべてが処理されますよね?
FUDがそのUい頭を持ち上げる
まあ、そうではありません。 事実、Microsoftは4月にサポートを終了しているにもかかわらず、7か月後も、Windows XPを実行している重要な数のコンピューターがあります。 そのため、ユーザーがブービートラップされたWebサイトにアクセスすると、XPマシンは依然としてリモートコード実行攻撃の危険にさらされます。 しかし、ほとんどの場合、ストーリーは毎月同じです。マイクロソフトは重大な脆弱性を修正し、パッチをリリースしました。 通常どおり火曜日のビジネスにパッチを適用します。
そうでなくなるまで。 おそらく、情報セキュリティの専門家は非常にうんざりしていて、常に恐怖を売らなければならないと考えています。 おそらく、この脆弱性が19年前にWindowsコードに導入されたという事実が、何らかのハートブリードフラッシュバックを引き起こしたのでしょう。 または、センセーショナル主義が標準であるところまで到達しました。
しかし、Microsoftのパッチに関して、Tripwireのセキュリティ研究者であるCraig Youngからの受信トレイに次のような土地があることに驚いた。「HeartbleedはMS14-066よりも強力ではなかった。影響を受けるシステムのサブセットでのみリモートで悪用可能です。」
それは冗談になりました-あなたがそれについて考えるならば悲しいものです-どんな脆弱性がどんな種類の注意を得るためにも、今私たちは派手な名前とロゴを持っている必要があります。 おそらく次のバンドにはブラスバンドとキャッチーなジングルがあります。 人々に情報セキュリティを真剣に考えさせるためにこれらのトラップが必要な場合、問題があります。それはバグそのものではありません。 セキュリティに注意を向ける唯一の方法は、仕掛けとセンセーショナル主義に頼ることであるという点に到達しましたか?
責任あるセキュリティ
「これは非常に深刻なバグであり、すぐにパッチを適用する必要があります。幸い、Microsoftプラットフォーム更新エコシステムは、Microsoft Updateを使用して数時間ですべてのお客様にこの脆弱性のパッチを適用する機能を提供します」と、フィリップリーバーマン、社長リーバーマンソフトウェア。
誤解しないでください。 Heartbleedが注目を集めてくれたことはうれしいです。なぜなら、それは深刻であり、広範囲にわたる影響のためにinfosecコミュニティ外の人々に連絡する必要があるからです。 Shellshockの名前は、私が知る限りでは、Twitterの会話からきて、欠陥とそれをテストする方法について議論しました。 ただし、SChannelの脆弱性を「WinShock」と呼ぶ必要も、これらの欠陥に関連してその深刻さを議論する必要もありません。
それは単独で立つことができ、またそうすべきです。
「この脆弱性は組織に深刻な理論的リスクをもたらし、できるだけ早くパッチを適用する必要がありますが、最近公開された他の多くの脆弱性と同じリリース時の影響はありません」情報セキュリティ担当副社長、ジョシュ・ファインブルムRapid7で、ブログ記事に書いた。
Liebermanは興味深い観測を行いました。SChannelの脆弱性は、すべてのオープンソースベンダーまたはクライアントソフトウェアが問題を修正して独自のパッチをリリースしなければならないというわけではないため、Heartbleedとは異なります。 マイクロソフトが提供しているような定義済みのパッチ配信メカニズムを備えた商用ソフトウェアは、「さまざまなバージョンおよびパッチシナリオのコンポーネントの寄せ集め」を心配する必要がないことを意味します。
悪用するのが難しい(IBMなど)か、ささいな(iSightパートナーなど)かは関係ありません。 オンラインチャットでは、これは氷山の一角にすぎず、SChannelの脆弱性は大きな混乱を引き起こす可能性があると示唆しています。 これは重大なバグです。 恐怖の戦術に頼ることなく、それ自体の長所で問題について話しましょう。