一位安全专家今天说,微软上个月悄无声息地修补了三个漏洞,其中两个影响企业关键任务Exchange邮件服务器,但没有公开注意到这些漏洞。
安全专家今天说,微软上个月默默地修补了三个月的三个漏洞,其中两个人影响了企业使命关键的交换邮件服务器,而不会在随附的咨询中呼出突发事件。
三个未公布的漏洞中有两个,也是三个漏洞中最严重的一个,都被打包在一起了ms10 - 024,更新到Exchange和Windows SMTP服务微软于4月13日发布被标记为“重要”,排名第二。
据核心安全技术公司(Core Security Technologies)的首席技术官伊万·阿尔斯(Ivan Arce)称,微软修补了漏洞,但没有透露已经这么做。
“微软确实披露的[两种漏洞],他们更重要,”arce说。“这意味着[系统]管理员最终可能会对应用更新进行错误的决定。他们需要这些信息来评估风险。”
核心实验室研究员Nicolas Memolegou在挖掘进入更新时发现了两个不言而喻的错误,其中一部分工作是核心的开发作家,这对于其核心影响渗透测试框架最为人知,一种用于探测计算机和网络的潜在漏洞的系统用真实的漏洞攻击他们。
“攻击者可以利用MS10-024修复的两个先前未公开的漏洞,以使Windows SMTP服务自卑的任何DNS查询的欺骗响应,”康乐的发现咨询中的核心表示核心。“DNS响应欺骗和缓存中毒攻击是众所周知的,拥有各种安全影响,因为最初在MS10-024中最初说明的服务和信息披露的影响。”
DNS缓存中毒是一种长期存在的攻击策略——可以追溯到近20年前——但最出名的可能是关键的弱点在2008年由丹·卡明斯基发现的互联网域名系统(DNS)软件中。
秘密补丁既不是新的还是罕见的。“这一直在多年来一直在发生,并且本身的行动并不是一个巨大的阴谋,”Ncircle安全的安全运营总监Andrew Storms说。
核心是难题的,微软的沉默更新公众。
Core称微软“歪曲”和“低估”了MS10-024的重要性,因为它没有披露这两个漏洞,并敦促公司管理者“考虑重新评估补丁部署的优先级。”
核心在另一个更新中找到了第三个未列区4月13日,ms10 - 028.该修补程序在Microsoft Visio中解决了两个已识别的错误,该公司的项目图表软件。
微软承认它有固定的缺陷而无需告诉客户,而是捍卫了这种做法。
安全程序经理杰瑞·布莱恩特(Jerry Bryant)在一封电子邮件中表示:“当发现安全漏洞时,微软会对该漏洞进行彻底调查,解决调查结果中发现的任何其他代码问题,并对安全更新进行广泛的质量保证测试。”“这有助于减少客户必须部署的更新数量,因为更新可能会破坏客户环境。”
如果内部发现的漏洞需要公告中的其他漏洞已经覆盖的单独行动或指导,“我们肯定会将这种脆弱性分开的文件和解决,”布莱恩特说。
事实上,这不只是微软的业务,对大多数软件制造商来说也是一样。他指出:“供应商通常会自己在发布的代码中发现bug,然后将修复程序发布到其他补丁包中。”“很多时候,泄露漏洞对任何人都没有好处。”
事实上,微软的政策是不分配CVEs——登录到常见漏洞和暴露数据库- 由自己的研究人员发现的瑕疵说。“供应商不要求为内部错误申请CVE,”他说。
但Storms也和Arce一样担心这种做法可能会被滥用,这可能会在用户中造成错误的安全感。他说:“现在的问题是,供应商是否错误地描述了风险,从而在补丁分发的优先次序上制造了一种错误的冷漠感。”“例如,如果一个被微软评为‘中等’的IE8补丁实际上也包含一个重要的内部漏洞,那么较低的评级会不会让客户面临风险,因为他们可能会觉得自己可以推迟补丁的发布,而一直不知道有一个隐藏的关键补丁?”
Arce认为这正是微软在MS10-024事件中所做的。“他们在两年前修复了MS08-037中一个非常类似的漏洞,”他说,谈到关键的2008补丁堵住了卡明斯基发现的DNS漏洞.“如果不是漏洞,那么为什么他们发出漏洞公告?”问道。“他们没有合理的方式说这不是一个安全问题。”
“对于供应商或客户来说,没有简单的答案,”斯道姆说。“如果供应商发布了一个关键补丁,但信息很少,比如Adobe,我们就会向供应商索要更多信息。另一方面,考虑到企业安全团队的工作量,我们需要信任供应商的评级,以帮助确定优先级。”
核心对无声补丁的建议ms10 - 024和ms10 - 028可在其网站上找到。
格雷格·凯泽为《计算机世界》报道了微软、安全问题、苹果、网络浏览器和通用技术突发新闻。在Twitter上关注格雷格@gkeizer或订阅格雷格的RSS提要。他的电子邮件地址是gkeizer@ix.netcom.com。
阅读更多关于安全性的内容在Computerworld的安全知识中心。
这个故事,“安全公司披露微软的‘静默’补丁”最初是由《计算机世界》 .