MladenIsakovic:
Citat:
. ***i ga, sve ima svoju cenu, tako i tih 95% tržišta, čim najsigurniji-kernel-fuckin-magic-miracle operativni sistem postane exploitabilan na toliko glup način, da je to za podsmeh, i što ga jedna "kupusara" koja je šuplja k'o php (što bi rekao Štambuk) na internetu šije toliko da je neuporedivo, i to bez kurtona na modemu
1. Još se nije pojavio nijedan pouzdani exploit koji radi na x64 Visti. Svi mnogo nešto seru kao je teoretski moguće (teoretski je moguće i karati Angelinu Jolie), ali nitko da sjedne i napiše jedan koji zaobilazi NX+ASLR. Vrlo je izvjesno da se i neće, jer nijedan već objavljen ne zaobilazi ni obični hardverski XP DEP (prolistajte malo komentare na mailing listama). Već sam napomenuo jedno 100 puta, ali nikako izgleda da dopre do pingvinskih ušesa - svrha proaktivnih zaštita jest da učine eksploataciju dovoljno nemogućim pothvatom, ako one uopće postoje, ne da ih eliminira.
Šteta je što /GS nije aktivan na stack-allocated struct-ove, već samo obične nizove. Mnijem da će se to nakon ovog gafa (u Vista SP1 ili nešto) vrlo hitno ispraviti ;) Da je /GS bio aktivan, od ove cijele farse ne bi bilo ništa :/
ASLR je dostupan i za obične smrtnike na win2k/XP:
http://www.wehnus.com/products.pl
Štoviše, Wehntrust je nešto agresivniji i od Vistinog ASLR-a, i ima drukčiji algoritam randomizacije, pa ste sa njim možda čak i sigurniji nego na x32 Visti.
2. Ako mislite da ne postoje sigurnosni propusti ovakve kategorije na svetim kravama linuxu/solarisu/Mac etc., onda zaista selektivno percepirate stvarnost. Koga boli q za npr. libpng vuln exploitabilan iz Firefoxa kad je alternativa OS sa > 90% tržišta? U konačnici, po broju otkrivenih vulnova, Vista će i dalje biti nekoliko puta ispred RHEL/Mac OS, to uopće nije upitno.
3. Već je spomenuto, ali postoji već nekolicina neslužbenih patcheva, izgleda da je to novi trend otkad je Guilfanov objavio onaj svoj za WMF flaw:
http://research.eeye.com/html/alerts/zeroday/20070328.html
http://zert.isotf.org/advisories/zert-2007-01.htm
Zapakirano u MSI, trivijalno deployable preko group policya. Cijeli je patch dovoljno trivijalan da baš nikakvih problema ne bi ni u teoriji mogao učiniti (in-memory patchiranje, traženje nekoliko signatura..).
4. Cijela je ova situacija jako slična WMF ranjivosti (oba su 0day, exploitabilna tek posjetom na stranicu/otvaranjem e-maila, oba zatekla MS nespremna). Aftermath za in-the-wild WMF exploite je bio otprilike sljedeći:
http://news.com.com/Antivirus+...F+bug/2100-1002_3-6018696.html
Svi AV-ovi prve klase (dakle ne g**** kao što su AVG ili ClamAV) su detektirali sve od uhvaćenih 200-ak varijanti WMF exploita. Što to znači? Znači da sa instaliranim jednim od takvih AV-ova (BitDefender, Computer Associates eTrust-VET, F-Secure, Kaspersky Lab, McAfee, Eset Nod32, Microsoft OneCare, Sophos, Symantec) je za korisnika vulgaris (to je onaj što ni ne zna što je to exploit, već samo instalira AV i nada se najboljemu) ranjivost nije ni postojala. Bio je siguran u MladenIsakovic smislu.
Ova pojava je jednostavno posljedica činjenice da je sigurnost MS-ove platforme previše važna da bi se pustila samo MS-u na kontrolu.
5. Većina HIPS-eva već ima generičke definicije koje onemogućuju eksploataciju ANI ranjivosti. Neki od njih su čak i besplatni, npr.
http://www.eeye.com/html/produ...k/neighborhoodwatch/index.html
Također postoje i trivijalne definicije za Snort i sl. alate (sve što treba jest provjeriti duljinu jednog polja u headeru).
Što to sve znači summa summarum?
Za one koji žele i jedino priznaju patch
koji 100% radi bez popratnih pojava kao jedini siguran način otklanjanja propusta - imaju izbor.
Za one koje ne zanima security i sve što žele jest instalirati neki AV/HIPS i ovaj i sve buduće ovakve strke prepustiti nekom trećem na razmišljanje - imaju izbor.
Za one žele security kao prebuilt feature u OS-u, bez 3rd party dodataka, a usto su spremni platiti za dovoljno napredan hardver (x64 Vista) - imaju izbor.
Sve u svemu, kako bi rekao čika Shakespeare, mnogo vike nizašto ;)
Ugodan dan pingvini!