Ne Kadar Süre Tanımalıyız ?

Dün technews’te gözüme çarpan ilginç bir haber vardı. İnternette güvenlik platformlarında da oldukça tartışılan bir konu oldu şu iki gündür. Konu; güvenlik açığı bulunduğu zaman bunu internette paylaşmadan önce ilgili firma veya kuruma ne kadar zaman tanınması gerektiği :

Haberi özetlemek gerekirse :

Google Research çalışanlarından Tavis Ormandy isimli şahıs Microsoft XP ve Server 2003’te uzaktan kod çalıştırılabilmesine ilişkin bir zaaf keşfediyor.

Bu zaafı Microsoft’a resmi yollardan bildiriyor ve 4 gün boyunca bunu paylaşmıyor, buqtrack’e düşürmüyor, 4 günden sonra (doğal olarak) açığı paylaşıyor. Bu durum sonrasında Microsoft, açığı incelemeleri ve muhtemel güncelleştirmeleri yayınlamaları için sadece 4 gün tanıdığı için Tavis’e oldukça sert tepki veriyor.

(Tavis’in bulduğu zaafı buradan inceleyebilirsiniz)

“Microsoft Yardım ve Destek Merkezi” teknik sayfalarında, bu hizmetin sadece kullanıcılara güvenli dökümentasyon ve parametre sağlamak için kullanıldığını belirtiyor, oysa ki HCP protokolü kullanıldığı zaman URL’ler düzgün şekilde yorumlanamayabiliyor. HCP sayesinde çalıştırılan bir URL ile “Microsoft Yardım ve Destek Merkezi”ne erişim sağlanıyor. Burada belirtmek lazım ki bütün browserlar HCP protokolünü desteklemiyor. Bu olaydan sonra bir çoğu artık bu protokole destek vermeyi kesti. Şuan Opera ve Firefox bu protokolü tanımıyor, sorun çıkartan yine Internet Explorer..

Eğer saldırganın hedefinde ki kullanıcı; yönetici yani administrator hakları ile sisteme giriş yapmış ise, bu açık sayesinde saldırgan tüm sistemin erişimini ele alabiliyor. Microsoft yayınladığı duyuru da şöyle diyor :

“Saldırgan yeni programlar yükleyebilir, bilgilerinizi görebilir-değiştirebilir veya silebilir ve bütün kullanıcı haklarına sahip yeni bir kullanıcı hesabı oluşturabilir.”

Microsoft bu kadar büyük bir zaaf yaratacan durumu gözden kaçırdığı için kendisine kızmak yerine Google’a tepki veriyor, açığı bulan güvenlik uzmanının en az 30 gün süre tanıması gerektiğini, en acımasız güvenlik uzmanlarının bile 14 gün süre tanıdığını, 4 günün böyle bir açığı teşhis ve tamir etmek için yeterli olmayacağını belirtiyor.

Daha önce 23 Mart’ta CanSecWest’in bulduğu Safari, Firefox ve IE kullanıcılarını etkileyen ciddi bir güvenlik açığı, Firefox tarafından 10 gün içerisinde, Safari tarafından 1 ay içerisinde, Microsoft tarafından ise 3 ay içerisinde fixlenmişti.. Bu olayı da hatırlayınca acaba diyorum Microsoft kuru gürültümü yapıyor? Tavis eğer 15 gün verseydi, bir açığı 3 ayda anca fixleyebilen Microsoft bu sefer ne yapacaktı çok merak ediyorum.

2 thoughts on “Ne Kadar Süre Tanımalıyız ?”

  1. tavis harikalar yaratmaya devam ediyor. bence direk bize verseydi biz kullansaydık bırak microsoftu 😀 insanlık yaramıyor görüyorsun

Leave a Reply