Комментарии 19
Описание некоторых уязвимостей вселяют страх. Особенно выполнение кода на сервере с помощью dns запроса.
Откуда берется так много уязвимостей такого рода?
Откуда берется так много уязвимостей такого рода?
С++ и С. Как их через статические анализаторы не гоняй, а программисты — умнее.
Господа, всё-таки предлагайте варианты ответов. Например, С++ и С — замечательные инструменты, но никто, кроме NASA, Бьярна Страуструпа и меня, не умеет ими нормально пользоваться, поэтому надо больше хороших и разных методичек по написанию недырявого кода на С и С++. Или что-то в этом роде.
Хотите сказать, что разработчики Windows пишут на языке, который плохо понимают? Или то, что люди, которые все-таки понимают этот язык еще не работают в Microsoft?
Вообще мне кажется, все исходит от основных механизмов работы ОС. Разве на каком-нибудь *nix сервере клиент сможет DNS запросом запустить свой код с высокими правами? Нет, потому что права пользователя, от которого работает dns, не дают привилегий практически ни на что больше, чем сама работа dns сервиса. Конечно, кто-то может запускать все от root, но таких не очень много.
Когда я впервые увидел UAC, я подумал, что это и есть аналог «изоляции» прав обычного пользователя, но с тех пор ситуация мало поменялась.
Вообще мне кажется, все исходит от основных механизмов работы ОС. Разве на каком-нибудь *nix сервере клиент сможет DNS запросом запустить свой код с высокими правами? Нет, потому что права пользователя, от которого работает dns, не дают привилегий практически ни на что больше, чем сама работа dns сервиса. Конечно, кто-то может запускать все от root, но таких не очень много.
Когда я впервые увидел UAC, я подумал, что это и есть аналог «изоляции» прав обычного пользователя, но с тех пор ситуация мало поменялась.
Я хочу сказать, что даже в Linux нет гарантии того, что какой-нибудь ioctrl в системной службе не вызовет переполнение буфера и исполнение произвольного кода(например, http://www.cvedetails.com/cve/CVE-2015-8812/ ). Потому что С и С++ не гарантируют безопасной работы с памятью. Безопасную работу с памятью пытаются гарантировать программисты. Как у них это получается — известно всем.
Нашёл багу в эдже — открыл много вкладок, закрыл браузер, открыл, начинаешь тыкать по вкладкам мышкой браузер падает, отправил репорт, уже через две недельки патч с описанием кучи критических багов, браузер перестал вылетать, сижу и думаю — неужели связано, или эту мелочь просто до кучи исправили.
Какие из исправлений закачивают и устанавливают windows 10?
Интересно, что «Обновление MS16-077 исправляет две LPE-уязвимости CVE-2016-3213 и CVE-2016-3236 в компоненте протокола Web Proxy Auto Discovery (WPAD)» одна из них идет еще с Windows 95 и называется BadTunnel. Позволяет злоумышленнику перенаправить трафик через свой прокси при использовании IE. Таким образом можно даже сами обновления подменить. Тут советуют на старых машинах, которых не коснется обновление отключить NetBIOS через TCP/IP.
Вообще когда Windows скачивает и устанавливает обновления (что происходит намного чаще, чем ожидалось и хотелось бы), каждый раз невольно задумываешься насколько же в Microsoft должны быть «хорошие» разработчики, что они заранее не могут распознать и исправить столько критических косяков. И насколько, должно быть, некачественный в общем смысле продукт компания изначально выпускает на рынок…
Не обязательно, просто в связи с распространенностью Windows, именно в ней больше всего ищут уязвимости. Многие из них далеко не тривиальные и становятся основой докладов и конференций. В новой Ubuntu тоже затесалась старая брешь, вот только её достаточно быстро исправили. Так что я бы не сказал что это от «хорошести» разработчиков.
Не знаю, мне приходится пользоваться и различными сборками Linux'а, и Маком по работе, и как-то те системы так не напрягают постоянными обновлениями. Линукс все-таки не коммерческий продукт, за который люди платят деньги, ожидая, что они покупают что-то супер надежное, и это open source, то есть там ожидаемо, что сообщество что-то постоянно исправляет, добавляет и т.п. На Маке тоже периодически бывают апдейты, но это происходит раз или два в месяц, а на Windows такое ощущение, что пару раз каждую неделю. Я не про какие-то конкретные апдейты, на самом деле, говорю, а в целом. Если продукт требуется обновлять и исправлять каждые несколько дней (не обязательно critical updates), разве это не говорит о том, что его либо недостаточно хорошо заранее продумали, либо недостаточно хорошо оттестировали? Microsoft же не добавляет какую-то новую функциональность каждым обновлением, а что-то исправляет обычно.
Меня бесят в обновлениях Windows 2 вещи:
— отжирание большого объема памяти в процессе установки и сильная нагрузка на диск
— обязательная перезагрузка после установки обновлений, которая может продолжаться весьма долго
— отжирание большого объема памяти в процессе установки и сильная нагрузка на диск
— обязательная перезагрузка после установки обновлений, которая может продолжаться весьма долго
Все ссылки ведут на корень библиотеки технета https://technet.microsoft.com/en-us/library
Так задумано?
Так задумано?
MS16-072: Security update for Group Policy:
KB3159398 MS16-072: Description of the security update for Group Policy: June 14, 2016
KB3163017 Cumulative update for Windows 10: June 14, 2016
KB3163018 Cumulative update for Windows 10 Version 1511 and Windows Server 2016 Technical Preview 4: June 14, 2016
Установка данных KB убьет GPO на пользовательских машинах(с чем столкнулся):
-монтирование дисков;
-ярлыки, приложения пользователей;
-права доступа;
Выход: удалить КВ, добавить «Прошедшим проверку» разрешение на чтение. Выбор первого очевиден.
KB3159398 MS16-072: Description of the security update for Group Policy: June 14, 2016
KB3163017 Cumulative update for Windows 10: June 14, 2016
KB3163018 Cumulative update for Windows 10 Version 1511 and Windows Server 2016 Technical Preview 4: June 14, 2016
Установка данных KB убьет GPO на пользовательских машинах(с чем столкнулся):
-монтирование дисков;
-ярлыки, приложения пользователей;
-права доступа;
Выход: удалить КВ, добавить «Прошедшим проверку» разрешение на чтение. Выбор первого очевиден.
Куче народу лень читать описание обновления, хотя там всё просто. Теперь чтение политик выполняется от имени аккаунтов компьютеров, а не от имени аккаунтов пользователей. Соответственно нужно дать компьютерам права на чтение полититик и всё будет работать нормально.
Можно быстро сделать это через PowerShell:
https://p0w3rsh3ll.wordpress.com/2016/06/16/fix-gpo-permissions-before-applying-ms16-072/
Можно быстро сделать это через PowerShell:
https://p0w3rsh3ll.wordpress.com/2016/06/16/fix-gpo-permissions-before-applying-ms16-072/
Наверное, MS врут. Склонен сомневаться в конкретном переводе или это таки наработка? Поясню цитатой:
«Symptoms
All user Group Policy, including those that have been security filtered on user accounts or security groups, or both, may fail to apply on domain joined computers.
Cause
This issue may occur if the Group Policy Object is missing the Read permissions for the Authenticated Users group or if you are using security filtering and are missing Read permissions for the domain computers group.
Resolution
To resolve this issue, use the Group Policy Management Console (GPMC.MSC) and follow one of the following steps:
Add the Authenticated Users group with Read Permissions on the Group Policy Object (GPO).
If you are using security filtering, add the Domain Computers group with read permission.»
https://support.microsoft.com/en-us/kb/3163622
Кстати, в ссылке на PS фигурирует «Authenticated Users group» и даже если перевод настолько «вольный», то идентификатор S-1-5-11 — это группа пользователей. Куча правда, да?
«Symptoms
All user Group Policy, including those that have been security filtered on user accounts or security groups, or both, may fail to apply on domain joined computers.
Cause
This issue may occur if the Group Policy Object is missing the Read permissions for the Authenticated Users group or if you are using security filtering and are missing Read permissions for the domain computers group.
Resolution
To resolve this issue, use the Group Policy Management Console (GPMC.MSC) and follow one of the following steps:
Add the Authenticated Users group with Read Permissions on the Group Policy Object (GPO).
If you are using security filtering, add the Domain Computers group with read permission.»
https://support.microsoft.com/en-us/kb/3163622
Кстати, в ссылке на PS фигурирует «Authenticated Users group» и даже если перевод настолько «вольный», то идентификатор S-1-5-11 — это группа пользователей. Куча правда, да?
О фильтрации забыл добавить. Если используется в GPO, значит Computers group — read
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Microsoft исправила уязвимости в Windows