LINUX.ORG.RU
ФорумTalks

[offtop][ОН] Microsoft отказалась патчить Windows XP

 


0

0

Сcылка

К удивлению специалистов по безопасности, компания Microsoft отказалась патчить недавно выявленную уязвимость TCP/IP в Windows XP и Windows 2000. Один из ведущих менеджеров по безопасности программ Microsoft Эдриан Стоун сказал, что этот фрагмент исходников слишком стар, имеет возраст от 12 до 15 лет, и разобраться в коде на этом уровне «просто нереально». Данная фраза была сказана в прямом эфире ежемесячного вебкаста по безопасности (стенограмма), отвечая на вопросы слушателей.

> и разобраться в коде на этом уровне «просто нереально»

либо это код спионерили, либо он такого качества

lester ★★★★
()

Ждём от Баллмера: "Я устал, я ухожу."

UserUnknown ★★★★★
()

Отлично. Теперь можно будет бомбить хомяков долго и безнаказанно.

dikiy ★★☆☆☆
()

Эксплойт дайте плиз.

madcore ★★★★★
()

4.2 они просто еще не сделали бэкпорт в старый код. Висту пропатчили, скоро и для хр сделают. Хотя жаль, это был бы настоящий вендокапец.

Greenday
()
Ответ на: комментарий от lester

>либо это код спионерили, либо он такого качества

Если он 15 лет назад писался, то сегодня не осталось ни одного программиста, который с ним работал. Так что - разбираться с нуля придётся. Вот и забили :)

KRoN73 ★★★★★
()
Ответ на: комментарий от Deleted

> Хочешь сказать программисты долго не живут? О_О

15 лет назад - это 1994, NT 3.5. Писал этот код какой-нибудь Люковски, который в гугель ушел :)

tailgunner ★★★★★
()
Ответ на: комментарий от KRoN73

> Если он 15 лет назад писался, то сегодня не осталось ни одного программиста, который с ним работал.

через 15 лет сам автор без грамотных комментариев ничего сходу там не поймет :)

lester ★★★★
()
Ответ на: комментарий от Deleted

> Хочешь сказать программисты долго не живут? О_О

Очень похоже на то. Я вот не знаю ни одного программиста старше 30.

fenris ★★★★★
()

Красноглазый хомячок такой красноглазый.

Автор, учи английский. Там речь идет о невозвожности бекпорта исправлений из нового кода (2003, 2008, Win7) в старый (WinXP). Это не значит что они вообще не будут это фиксить в ХР.

но извините, если мы посмотрим сюда http://www.microsoft.com/technet/security/bulletin/ms09-048.mspx

то для xp Maximum Security Impact = Denial of Service, и Aggregate Severity Rating = low

в то время, как для Vista и выше Maximum Security Impact = Remote Code Execution и Aggregate Severity Rating = Critical, что гораздо более серьезно

Это очень существенная часть новости, и что ее автор не упомянул — плохо, и говорит лишь только о его предвзятости

Кстати, если перестрелять(или хотя бы стерилизовать) людей навроде топикстартера - количество информационного мусора в интернете и на ЛОР в частности резко упадет.

nikolayd
()
Ответ на: комментарий от Deleted

>Хочешь сказать программисты долго не живут? О_О

Те, кто 15 лет назад в MS писали серьёзный код, сегодня или сменили работу, или на руководящих должностях, или такие неудачники по-жизни, что никто серьёзный код писать им больше не доверит :) Не забываем, что за эти 15 лет MS расширилась раз в 10...

KRoN73 ★★★★★
()
Ответ на: комментарий от fenris

>Я вот не знаю ни одного программиста старше 30.

Ну, мне, типа, 36 :)

...

Самому старому программисту, с которым я пересекался, было что-то под 45 (в то время, когда работали с ним).

А старше найти трудно - потому что лет 30 назад, когда такие люди выбирали себе будущую профессию, программирование в современном виде только-только зарождалось :) (речь про соотечественников, естественно)

KRoN73 ★★★★★
()

Microsoft Security Bulletin MS09-048 - Critical
Vulnerabilities in Windows TCP/IP Could Allow Remote Code Execution (967723)

омг ) и они отказались это патчить?)

Sylvia ★★★★★
()
Ответ на: комментарий от KRoN73

> Самому старому программисту, с которым я пересекался, было что-то под 45 (в то время, когда работали с ним).

> А старше найти трудно

Знаю прогеров за 50, даже под 60 (но последние уже код не пишут, а руководят) :)

tailgunner ★★★★★
()
Ответ на: комментарий от fenris

>Я вот не знаю ни одного программиста старше 30.

а у меня в отделе таких ~80%. и что?

jtootf ★★★★★
()
Ответ на: комментарий от Sylvia

> омг ) и они отказались это патчить?)

так что там насчёт второй части сетевой игры "i like to explo it, explo it", теперь в версии под xp? А то некоторым в локалке с xp-шниками и поиграть не во что.

Woffice
()


реквестирующим ссылку на эксплойт - пожалуйста, убейте себя об стену. если вы на столько тупы, что не в состоянии написать свою версию эксплойта, постарайтесь не позориться столь публично.

LMD (c) FIDO

// wbr

klalafuda ★☆☆
()
Ответ на: комментарий от fenris

> Очень похоже на то. Я вот не знаю ни одного программиста старше 30.

какие твои годы, Малыш. все ещё впереди.

// wbr

klalafuda ★☆☆
()
Ответ на: комментарий от klalafuda

Обнаруженные уязвимости позволяют удаленному пользователю произвести DoS атаку.

1. Уязвимость существует из-за ошибки при обработке большого количества установленных TCP соединений. Удаленный пользователь может с помощью специально сформированных пакетов, с установленным размером получающего TCP окна в слишком низкое значение или 0, вызвать отказ в обслуживании.

2. Уязвимость существует из-за того, что TCP/IP стек позволяет неопределенное время существования для FIN-WAIT-1 и FIN-WAIT-2 статуса. Удаленный пользователь может с помощью большого количества специально сформированных TCP пакетов с размером получающего окна, установленного в слишком низкое значение или 0, вызвать отказ в обслуживании.

BeerSeller ★★★★
() автор топика

*BSD не подвержена этой уязвимости? (=

anon000
()
Ответ на: комментарий от Greenday

> 4.2 они просто еще не сделали бэкпорт в старый код. Висту пропатчили, скоро и для хр сделают. Хотя жаль, это был бы настоящий вендокапец.

4.2. Черным по белому написано "An update for Windows XP will not be made available"

anonimusmusmus
()
Ответ на: комментарий от Greenday

> 4.2 они просто еще не сделали бэкпорт в старый код. Висту пропатчили, скоро и для хр сделают. Хотя жаль, это был бы настоящий вендокапец.

в 2000+ вполне достаточно дыр и без этой. причём хорошо известных, старых и активно используемых всякой гадостью. и ничего, конца винде пока что как-то не заметно.

// wbr

klalafuda ★☆☆
()
Ответ на: комментарий от tailgunner

> Знаю прогеров за 50, даже под 60 (но последние уже код не пишут, а руководят) :)

Знаю программистку, которой 61. Заодно занимается техподдержкой с выездом на места (в пределах Москвы). Предпочитает фортран, но программа, которую она обслуживает — на вижуал фокс про.

question4 ★★★★★
()
Ответ на: комментарий от klalafuda

> реквестирующим ссылку на эксплойт - пожалуйста, убейте себя об стену. если вы на столько тупы, что не в состоянии написать свою версию эксплойта, постарайтесь не позориться столь публично.

реквестирующим сетевой клиент игры под linux - пожалуйста, убейте себя об стену, если вы настолько тупы, что не в состоянии написать свою версию клиента сетевой игры, постарайтесь не позориться столь публично.

ой, не в тот топик запостил.

Woffice
()
Ответ на: комментарий от klalafuda

> реквестирующим ссылку на эксплойт - пожалуйста, убейте себя об стену. если вы на столько тупы, что не в состоянии написать свою версию эксплойта, постарайтесь не позориться столь публично.

А вот и виндузойды говном фонтанируют :-)

r_asian ★☆☆
()
Ответ на: комментарий от klalafuda

> в 2000+ вполне достаточно дыр и без этой. причём хорошо известных, старых и активно используемых всякой гадостью. и ничего, конца винде пока что как-то не заметно.

так потому и не видно. в винде люди, как комсомольцы-добровольцы её крякают, хакают, раздают, сами придумывают способы бороться с многочисленными недоработками и проблемами (то есть тратят своё время и деньги, чтобы увеличить благополучие одной корпорации)

а в linux эксплоитов никому не дают. если бы эти эксплоиты были бы у всех желающих - вендекапец состоялся бы за неделю, ибо никто не был бы в состоянии пользоваться вендой.

Woffice
()

Где-то читал, что в середине 90-х M$ прое^Wпотеряла сорцы каких-то ключевых библиотек для графических контроллов и в дальнейшем из венды в винду тянула их бинарники, обтянутые костылями.

Turbid ★★★★★
()
Ответ на: комментарий от Woffice

> реквестирующим сетевой клиент игры под linux - пожалуйста, убейте себя об стену, если вы настолько тупы, что не в состоянии написать свою версию клиента сетевой игры, постарайтесь не позориться столь публично.

указанный эксплойт - это от силы 1к строк на С. сетевой клиент игры под что угодно - ну ты понял, да?

// wbr

klalafuda ★☆☆
()
Ответ на: комментарий от klalafuda

> указанный эксплойт - это от силы 1к строк на С. сетевой клиент игры под что угодно - ну ты понял, да?

ты гордишься своим умением писать на C и неумением писать сетевые клиенты?

зачем тогда вообще GPL? давай весь код прятать? Ты не умеешь писать сетевые игры, а играешь, не написал linux, а пользуешься..

Woffice
()
Ответ на: комментарий от question4

> Знаю программистку, которой 61. Заодно занимается техподдержкой с выездом на места (в пределах Москвы). Предпочитает фортран, но программа, которую она обслуживает — на вижуал фокс про.

Это еще ничего. У меня тут под окном на кладбище иногда программисты на коболе откапываются и воют на луну, ехидно сверкая глазницами.

shutty
()
Ответ на: комментарий от Deleted

> Реквестирую ссылку на эксплоит.

О, скрипткиддис подтянулись.

Relan ★★★★★
()
Ответ на: комментарий от Woffice

Если ты не видишь разницы между "поиграть в игру" и "насрать кому-нибудь", то тебя действительно следует ударить об стену. Впрочем, рано или поздно с тобой это сделают те, кому ты будешь гадить "чисто по приколу". :)

Relan ★★★★★
()
Ответ на: комментарий от Relan

> Если ты не видишь разницы между "поиграть в игру" и "насрать кому-нибудь", то тебя действительно следует ударить об стену. Впрочем, рано или поздно с тобой это сделают те, кому ты будешь гадить "чисто по приколу". :)

то есть нагадить всем пользователям linux, не сделав игры потому что "рожей не вышли" - это нормально?

а держаться всеми зубами за прогнившую винду, вставать грудью на защиту корпорации "эксплоит есть, но я вам его не покажу", и таким образом противодействовать всем его дыркам - это нормально? ладно бы, если работа такая, работы всякие нужны. но когда человек или из личного фанатизма или из стадного чувства держится за винду - это всё таки ему следует к наркологу обратиться.

на кой ... продлевать век винды? если бы её мог уронить удалённо каждый школьник - кому бы она была нужна?

Woffice
()
Ответ на: комментарий от Woffice

> то есть нагадить всем пользователям linux, не сделав игры потому что "рожей не вышли" - это нормально?

А зачем вкладывать силы и средства в заведомо убыточное предприятие? Если, конечно, это не самоцель. Под мак и то не пишут, имхо, из-за его относительно малой доли.

> на кой ... продлевать век винды?

Деньжата правят миром. А виндоус очень удобный посредник. Понятно же.

TGZ ★★★★
()
Ответ на: комментарий от Woffice

> то есть нагадить всем пользователям linux, не сделав игры потому что "рожей не вышли" - это нормально?

Это нормально. Рынок называется. Рожи здесь ни при чем, это бизнес. А вот ссать в лифте из чувства ненависти к соседям -- это ненормально.

> но когда человек или из личного фанатизма или из стадного чувства держится за винду

Фанатизм здесь демонстрируете только вы.

Relan ★★★★★
()
Ответ на: комментарий от TGZ

> А зачем вкладывать силы и средства в заведомо убыточное предприятие? Если, конечно, это не самоцель. Под мак и то не пишут, имхо, из-за его относительно малой доли.

так если не затыкать такое руками пользователей, то оно само по себе рухнет, и доля других систем станет намного более высокой. Это как с долларом - набрали, поведясь на непонять что, а теперь сидят и трясутся, и друг друга за уши вытаскивают. А стоит вылезти хоть одному эксплоиту - сразу многим станет плохо.

> Деньжата правят миром. А виндоус очень удобный посредник. Понятно же.

я не понимаю, в чём смысл поддержки этого обычными пользователями. с этими же затратами энергии, сколько потрачено на доведение windows до ума, изучения подводных камней и обхода самых радикальных глюков - можно было бы в linux напилить столько, что он по количеству ПО обогнал бы всё остальное, и при этом ПО было бы свободным.

Woffice
()
Ответ на: комментарий от Relan

> Это нормально. Рынок называется.

а почему это должно быть интересно обычным пользователем?

или и им уже тоже за их деньги промыли мозги настолько, что они готовы встать и вскричать "аве, корпорации", извините, я с современными реалиями не знаком


> А вот ссать в лифте из чувства ненависти к соседям -- это ненормально.


причём здесь ссать? лично у меня нет ни одного знакомого с виндой, чтобы применить это на практике?

но одно дело, когда все знают, что это может рухнуть, но все делают вид, будто ничего не случилось, будто так и надо, и ещё с фанатизмом защищать, что это не так (большинство пользователей на форумах уже на полном серьёзе говорят, что и вагон вирусов - это нормально, а чё, жить не мешают, а спам - так трафик безлимитный, и что раз в месяц переустанавливать систему - ничего страшного, и всё остальное - это мелочи), а совсем другое дело - когда все знают, что это может рухнуть, и знают, что любой школьник может это обрушить, а не только тот, кто может эксплоиты писать.

А в ситуации, когда жареный петух клюнет - весь софт моментально быстро портируют на другую платформу, ибо как вы сами говорите - это бизнес, и это рынок. Только вот на нашем поле им уже придётся выучить наши правила.

Woffice
()
Ответ на: комментарий от Woffice

> так если не затыкать такое руками пользователей, то оно само по себе рухнет, и доля других систем станет намного более высокой

> я не понимаю, в чём смысл поддержки этого обычными пользователями.

Ну так все люди разные. А какие "обычные" пользователи поддерживают виндоус? Всех кого знаю из обычных, сидят на "сайтах знакомств". И что самое интересное у них, как не странно, винда шуршит по пять лет без переустановки, с SP1... до сих пор. Я не преувеличиваю. Зачем им что-то менять в свей жизни?

TGZ ★★★★
()
Ответ на: комментарий от Woffice

>> А вот ссать в лифте из чувства ненависти к соседям -- это ненормально.

> причём здесь ссать?

При том, что это такая же мелкая пакость, как и завалить кому-то венду. Можно при этом еще и оставить записку следующего содержания: "Я нассал тебе под дверь потому что ты вендузятник!"

Relan ★★★★★
()

И после этого меня ещё спрашивают, почему это мелкософт хочет выкинуть венду.

Quasar ★★★★★
()
Ответ на: комментарий от tailgunner

tailgunner> 15 лет назад - это 1994, NT 3.5. Писал этот код какой-нибудь Люковски, который в гугель ушел :)

А не из BSD ли стырили?

Quasar ★★★★★
()
Ответ на: комментарий от Greenday

Greenday> Висту пропатчили, скоро и для хр сделают.

Не сделают. Они хотят всех пересадить на Windows 7. Если XP будет устраивать всех - как тогда на семёрку все ломанутся?

Quasar ★★★★★
()
Ответ на: комментарий от Quasar

>> 15 лет назад - это 1994, NT 3.5. Писал этот код какой-нибудь Люковски, который в гугель ушел :)

> А не из BSD ли стырили?

Согласно популярному мифу, из BSD стырили стек для Win2k.

tailgunner ★★★★★
()
Ответ на: комментарий от Woffice

Woffice> а в linux эксплоитов никому не дают. если бы эти эксплоиты были бы у всех желающих - вендекапец состоялся бы за неделю, ибо никто не был бы в состоянии пользоваться вендой.

Совершенно верно. Думаю, все помнят историю с квипом, когда в нём была обнаружена дыра в обработчике RTF. Тогда все кинулись пользователям квипа отправлять ту заветную строчку...

Quasar ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.