Microsoftvulnerabilities: full disclosure and no disclosure

6 July 2010, 16:18

Theo:http://www.h-online.com/security/news/item/Microsoft-vulnerabilities-full-disclosure-and-no-disclosure-1033551.html

Bài được đưa lênInternet ngày: 06/07/2010

Lờingười dịch: Một số hãng dịch vụ an ninh đã dừngviệc thông báo các lỗi an ninh trong các sản phẩm củaMicrosoft vì bất đồng về lý do tài chính và điều nàycó thể sẽ gây nguy hại cho người sử dụng. Họ đưara những câu hỏi dạng như: “Vì sao các nhà cung cấpdịch vụ an ninh lại phải vứt đi những thông tin tự docó mục đích làm cho các phần mềm phải trả tiền đượcan ninh hơn?”

Sau khi lộ diện hoàntoàn, bây giờ Microsoft có một phương án lộ diện đểđấu tranh với - không lộ diện. Nhà cung cấp các dịchvụ an ninh của Pháp VUPEN kêu đã để lộ ra 2 chỗ bịtổn thương về an ninh mang tính sống còn trong phiên bảnOffice 2010 được tung ra gần đây - mà đã chuyển thôngtin về các chỗ bị tổn thương này và khuyến cáo làmdịu đi đối với các khách hàng chỉ của riêng mình.Còn bây giờ, hãng không định cấp cho Microsoft các chitiết, khi họ tính tới sự thiệt hơn - một lưu ý trongsự tin tưởng trong báo cáo về an ninh - không phù hợp.

VUPEN, trước đâyđược biết như là FrSIRT, các khách hàng bào gồm các cơquan chính phủ và các nhà cung cấp khác và theo các bìnhluận được thực hiện bởi CEO của VUPEN Chaouki Bekrarcho các bên liên quan của The H tại heise Security, hoạtđộng trên cơ sở “chính sách để lộ có trách nhiệmriêng tư”. Hãng này không đưa ra bất kỳ thông tin nàocông khai cho tới khi một bản vá là có sẵn sàng.

Liệu một bản vá sẽcó sẵn sàng cho các chỗ bị tổn thương của Office haykhông còn phụ thuộc vào Microsoft và liệu họ có thiệnchí trả tiền cho các thông tin hay không. VUPEN nói rằngtrong những năm gần đây hãng đã hỗ trợ một cách tựnguyện nhiều nhà cung cấp trong việc sửa các chỗ bịtổn thương, mà không lấy tiền. Chỉ riêng năm nay hãngkêu đã báo cáo 130 chỗ bị tổn thương trong các sảnphẩm của Microsoft cho Microsoft. VUPEN có ý kiến rằng điềunày sẽ không bao giờ tồn tại được nữa. “Vìsao các nhà cung cấp dịch vụ an ninh lại phải vứt đinhững thông tin tự do có mục đích làm cho các phần mềmphải trả tiền được an ninh hơn?” Bekrar đã hỏi.

Trong trường hợp củaOffice 2010, hãng này nói rằng hãng đã đầu tư khá nhiềuthời gian và nỗ lực vào những chỗ bị tổn thương vềan ninh không được dò tìm ra. Những chỗ bị tổn thươngtheo yêu cầu được báo cáo đều nằm trong Worrd và Excelvà cho phép tấn công mã nguồn. Hãng này nói rằng, mặcdù Office 2010 là an ninh hơn các phiên bản trước, nhưngnó vẫn có khả năng làm hỏng sự ngăn ngừa chạy dữliệu (DEP) và các tính năng kiểm tra tính hợp lệ củatệp và xem được bảo vệ của Office, có sử dụng cáckỹ thuật được sử dụng một cách thành công trướcđó để viết những khai thác tin cậy được cho Office2007.

Followingon f-rom full disclosure, Microsoft now has a new disclosure variantto contend with – no disclosure. French security services providerVUPENclaimsto have discovered two critical security vulnerabilities in therecently released Office 2010 – but has passed information on thevulnerabilities and advice on mitigation to its own customers only.For now, the company does not intend to fill Microsoft in on thedetails, as they consider the quid pro quo – a mention in thecredits in the security bulletin – inadequate.

VUPEN,formerlyknown as FrSIRT, customers include various government agenciesand other vendors and according to comments made by VUPEN CEO ChaoukiBekrar to The H's associates at heise Security, operates on a"private responsible disclosure policy" basis. The companydoes not release any information publicly until a patch is available.

Whethera patch will be available for the Office vulnerabilities depends onMicrosoft and whether they are willing to pay for the information.VUPEN states that in recent years it has voluntarily assisted manyvendors in fixing vulnerabilities, gratis. This year alone it claimsto have reported 130 vulnerabilities in Microsoft products toMicrosoft. VUPEN is of the opinion that this is no longer viable."Why should security services providers give away for freeinformation aimed at making paid-for software more secure?"asked Bekrar.

Inthe case of Office 2010, the company states that it has investedsubstantial time and effort in uncovering security vulnerabilities.The vulnerabilities in question are reported to be in Word and Exceland allow code injection. The company says that, although Office 2010is more secure than previous versions, it's still possible tocircumvent data execution prevention (DEP) and Office's protectedview and file validation features, using techniques previouslysuccessfully used to write reliable exploits for Office 2007.

VUPEN không đơn độc- Nhà cung cấp dịch vụ an ninh Mỹ là Immunity Sec cũngkhông hé lộ và cung cấp cho các khách hàng của mìnhnhững thông tin về những khai thác ngày số 0 mà không cóthông báo cho Microsoft. Ngược lại, Sáng kiến Ngày số 0(ZDI) của Tipping Point mua thông tin về các chỗ bị tổnthương, đưa các thông tin này vào các chữ ký cho hệthống dò tìm sự truy cập trái phép và sau đó chuyểntiếp những thông tin này cho nhà cung cấp theo yêu cầumột cách miễn phí.

Microsoft cũng có nhữngcuộc đấu tranh về phía mình trên những mặt trận khác.Một nhóm các lập trình viên dấu tên đã trả lời chochỉ trích của Microsoft về một xuất bản phẩm gần đâycủa Tavis Ormandy với việc sáng lập ra Microsoft-SpurnedResearcher Collective (MSRC, cf. Microsoft Security Response Center).Nhóm này lên kế hoạch xuất bản các chỗ bị tổnthương ở dạng hoàn toàn để lộ và sẵn sàng trảinghiệm những gì nó khuyên với các chi tiết về một chỗbị tổn thương ưu tiên cao trong Windows. Chỗ bị tổnthương này hiện được biết ảnh hưởng tới WindowsVista và Windows Server 2008.

Theo các báo cáo củanhà cung cấp dịch vụ an ninh Secunia, cũng có một sựtràn bộ nhớ trong chức năng Up-dateFrameTitleForDocument trong thành phần thời gian chạy của Windows mfc42.dll(VC++6). Hiện tại lỗi này chỉ được biết là có khảnăng hoạt động trong một ứng dụng, PowerZip 7.2 build4010 trong Windows 2000 và XP. Chưa có những chi tiết thêmhoặc các kịch bản tấn công nào được tiết lộ. Theomột bài trên Twitter, Microsoft đang điều tra vấn đềnày.

VUPENis not alone – US security services provider ImmunitySec also practices no disclosure and provides its customers withinformation on zero day exploits without informing Microsoft. Bycontrast, Tipping Point's ZeroDay Initiative (ZDI) buys information on vulnerabilities, worksthe information into signatures for its intrusion detection systemand then forwards the information to the vendor in question free ofc-harge.

Microsoftalso has fights on its hands on other fronts. A group of unknowndevelopers has responded to Microsoft'scriticism of a recent publication by Tavis Ormandy by foundingthe Microsoft-Spurned Researcher Collective (MSRC, cf. MicrosoftSecurity Response Center). The group plans to publish vulnerabilitiesin a full disclosure stylee and is already practisingwhat it preaches with details of a privilege escalation vulnerabilityin Windows. The vulnerability is currently known to affect WindowsVista and Windows Server 2008.

Accordingto reportsby security services provider Secunia,there is also a buffer overflow in the Up-dateFrameTitleForDocumentfunction in the mfc42.dll(VC++6) Windows run time component. At present the bug is only knownto be able to be triggered in one application, PowerZip 7.2 build4010 under Windows 2000 and XP. No further details or attackscenarios have been disclosed. Accordingto a post on Twitter, Microsoft is investigating the problem.

(crve)

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com