Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Luki - ujawniać, czy nie ujawniać?

Jurij Maszewski
Kaspersky Lab Expert
Dodany 29 maja 2006, 00:00 CEST
Tagi:

Pomyślałem, że zainteresowanie wykazywane przez internautów odnośnie tak zwanej luki w programie KIS 6.0 wymaga napisania kilku słów o tej sprawie.

Jesteśmy świadomi istnienia błędu w obsłudze utworzonych w specjalny sposób żądań HTTP. Opublikujemy poprawkę, która go usunie.

Powstaje pytanie, czy prawdą jest, że mamy do czynienia z luką - nie mówiąc już o tym, że według informacji, jakie można przeczytać na niektórych internetowych listach dyskusyjnych, jest to luka krytyczna? Nazywanie tego błędu luką krytyczną jest nieścisłością - jedyną szkodliwą czynnością, do której można ją wykorzystać, jest pobranie złośliwego programu. Wprawdzie plik ten, po pobraniu, omija moduł Ochrony WWW, jednak wykrywany jest przez inne nasze produkty i nie może zostać aktywowany po pobraniu.

Poza tym, wiemy, że najpowszechniej używane przeglądarki, takie jak Internet Explorer, Mozilla Firefox oraz Opera nigdy nie wysyłają do serwera żądań w tej formie. Żądanie utworzone w ten sposób może być uruchomione tylko poza przeglądarką przez inny złośliwy program, który klasyfikujemy jako Trojan-Downloader. Taka kombinacja okoliczności jest wysoce nieprawdopodobna. Nawet jeśli złośliwy plik zostanie z powodzeniem pobrany, nie stanowi to żadnego poważnego zagrożenia dla użytkownika, ponieważ zostanie zablokowany przez inne moduły KIS 6.0.

Dobrze, że dziura ta została zidentyfikowana. Dziwi mnie tylko sposób, w jaki podano ją do wiadomości. Przecież wszyscy w świecie bezpieczeństwa - łącznie z autorem pierwszego postu na ten temat - powinni być świadomi niepisanych zasad rządzących ujawnianiem luk: po wykryciu luki należy poinformować o tym producentów oprogramowania, w którym została zidentyfikowana, ZANIM szczegółowe informacje przedostaną się do opinii publicznej. Producenci mają wtedy przynajmniej 7 dni, żeby zareagować i/lub usunąć błąd, zanim informacje o nim zostaną publicznie ujawnione. Osoba, która umieściła w Internecie informację o problemie z obsługą HTTP, nie skontaktowała się wcześniej z nami. Jak już stwierdziłem, jest to zaskakujące, a nawet trochę smutne.

Informacja dla wszystkich czytelników naszego blogu: jeśli w jakimkolwiek produkcie firmy Kaspersky Lab znajdziecie usterki, luki lub coś, co działa niewłaściwie - skontaktujcie się z nami! Dzięki temu będziemy mogli szybciej naprawić błąd i zapewnić wam właściwą ochronę.