Microsoft отказалась устранять уязвимость в WinXP
4835
11
ganymed
просто пользователь
Вот так новость...
"К удивлению специалистов по безопасности, компания Microsoft отказалась выпускать патч для недавно обнаруженной уязвимости TCP/IP в Windows XP и Windows 2000. Один из ведущих менеджеров по безопасности программ Microsoft Эдриан Стоун заявил, что этот фрагмент исходников слишком стар, имеет возраст от 12 до 15 лет, и разобраться в коде на этом уровне «просто нереально» [backporting that level of code is essentially not feasible].
Две уязвимости в стеке TCP/IP были обнаружены 8 сентября. Уязвимость затрагивает также Windows Vista, Windows Server 2003 и Windows Server 2008. Для трёх упомянутых систем вышел апдейт MS09-048, а вот к Windows 2000 и Windows XP патча ждать не стоит. Для защиты от вредоносных TCP/IP-пакетов пользователям Windows XP рекомендуется воспользоваться функционалом встроенного файрвола.
Стоит отметить, что на сегодняшний день Windows XP — самая популярная в мире ОС. По условиям пользовательского соглашения, Microsoft обязана выпускать апдейты безопасности для Windows XP вплоть до апреля 2014 г..
Отказ устранять найденную уязвимость для системы, которая находится на поддержке — довольно редкое явление. Стоун сказал, что последний раз Microsoft шла на такой шаг в марте 2003 года с Windows NT 4.0."
ТУТ
Похоже что ЭТА проблема.
"К удивлению специалистов по безопасности, компания Microsoft отказалась выпускать патч для недавно обнаруженной уязвимости TCP/IP в Windows XP и Windows 2000. Один из ведущих менеджеров по безопасности программ Microsoft Эдриан Стоун заявил, что этот фрагмент исходников слишком стар, имеет возраст от 12 до 15 лет, и разобраться в коде на этом уровне «просто нереально» [backporting that level of code is essentially not feasible].
Две уязвимости в стеке TCP/IP были обнаружены 8 сентября. Уязвимость затрагивает также Windows Vista, Windows Server 2003 и Windows Server 2008. Для трёх упомянутых систем вышел апдейт MS09-048, а вот к Windows 2000 и Windows XP патча ждать не стоит. Для защиты от вредоносных TCP/IP-пакетов пользователям Windows XP рекомендуется воспользоваться функционалом встроенного файрвола.
Стоит отметить, что на сегодняшний день Windows XP — самая популярная в мире ОС. По условиям пользовательского соглашения, Microsoft обязана выпускать апдейты безопасности для Windows XP вплоть до апреля 2014 г..
Отказ устранять найденную уязвимость для системы, которая находится на поддержке — довольно редкое явление. Стоун сказал, что последний раз Microsoft шла на такой шаг в марте 2003 года с Windows NT 4.0."
ТУТ
Похоже что ЭТА проблема.
GODWARRIOR
activist
жесть.. не смешите меня xp давно ось для хакеров
у неё столько дырок,что ...................
у неё столько дырок,что ...................
Вы бы ещё спросили с них устранить дыры в Windows 95 ... XP вышла 9 (!) лет назад, сколько можно её поддерживать. Уже сменилось не одно поколение (условно) компьютеров.
А как же продление поддержки и заявление о готовности менять Вислу на ХП?
Или вы не в курсе?
Или вы не в курсе?
сколько можно её поддерживать.Сколько обещали, столько и поддерживать. Или M$ своим словам не хозяин?
Медийный повод большой, а по факту проблема не очень большая.
По вашей ссылке можете посмотреть, что там где Remote Code Execution заплатка есть, а вот где Denial of Service - там нету, пользуйтесь firewall. Это действительно меньшее из зол и правильная рекомендация, технически.
Действительно у MS самый длинный в индустрии срок поддержки _бизнес_продуктов_ - 10 лет, т.е. для Windows XP поддержка была действительно расширена в связи с поздним выходом Vista. Более того поддержка для XP Home была расширена также как и для XP Pro! http://support.microsoft.com/lifecycle/?p1=3221
Тем неменее, поддержка делится на две фазы - общая поддержка(активная фаза), которая закончилась для XP 14/04/2009/. Для сведения - Расширенная фаза поддержки не предоставляется для продуктов домашнего использования, аппаратных средств и мультимедиа-продуктов.
По части замены Vista на XP - то право Downgrade существует давно, при этом это право не изменяет сроков поддержки. Т.е. предприятие может использовать NT4, купив соответствующие лицензии на XP или Vista, но поддержка NT4 будет оказываться по правилам поддержки NT4, а не XP или Vista.
по ссылке все подробно написано:
If Windows XP is listed as an affected product, why is Microsoft not issuing an update for it?
By default, Windows XP Service Pack 2, Windows XP Service Pack 3, and Windows XP Professional x64 Edition Service Pack 2 do not have a listening service configured in the client firewall and are therefore not affected by this vulnerability. Windows XP Service Pack 2 and later operating systems include a stateful host firewall that provides protection for computers against incoming traffic from the Internet or from neighboring network devices on a private network. The impact of a denial of service attack is that a system would become unresponsive due to memory consumption. However, a successful attack requires a sustained flood of specially crafted TCP packets, and the system will recover once the flood ceases. This makes the severity rating Low for Windows XP. Windows XP is not affected by CVE-2009-1925. Customers running Windows XP are at reduced risk, and Microsoft recommends they use the firewall included with the operating system, or a network firewall, to block access to the affected ports and limit the attack surface from untrusted networks.
P.S. Для тех кто в танке - формально все верно. В фазе рашсиренной поддержки hotfix бесплатный только security. Остальные хоификсы только по отдельному соглашению. Remote code execution хотфиксы выпущены, для сервера 2003 hotfix выпущен - там служба работает.
Потенциальный Denail of service на службе Licensing, которая не нужна для работы и по-умолчанию выключена в системе XP, т.е. фактически риска нету для системы из поставки, поэтому и хотфикса согласно политики тоже нету.
Все по политикам поддержки, как обещали. Проблема для XP не актуальна в повседневном использовании - вот ответ почему нет хотфикса.
По вашей ссылке можете посмотреть, что там где Remote Code Execution заплатка есть, а вот где Denial of Service - там нету, пользуйтесь firewall. Это действительно меньшее из зол и правильная рекомендация, технически.
Действительно у MS самый длинный в индустрии срок поддержки _бизнес_продуктов_ - 10 лет, т.е. для Windows XP поддержка была действительно расширена в связи с поздним выходом Vista. Более того поддержка для XP Home была расширена также как и для XP Pro! http://support.microsoft.com/lifecycle/?p1=3221
Тем неменее, поддержка делится на две фазы - общая поддержка(активная фаза), которая закончилась для XP 14/04/2009/. Для сведения - Расширенная фаза поддержки не предоставляется для продуктов домашнего использования, аппаратных средств и мультимедиа-продуктов.
По части замены Vista на XP - то право Downgrade существует давно, при этом это право не изменяет сроков поддержки. Т.е. предприятие может использовать NT4, купив соответствующие лицензии на XP или Vista, но поддержка NT4 будет оказываться по правилам поддержки NT4, а не XP или Vista.
по ссылке все подробно написано:
If Windows XP is listed as an affected product, why is Microsoft not issuing an update for it?
By default, Windows XP Service Pack 2, Windows XP Service Pack 3, and Windows XP Professional x64 Edition Service Pack 2 do not have a listening service configured in the client firewall and are therefore not affected by this vulnerability. Windows XP Service Pack 2 and later operating systems include a stateful host firewall that provides protection for computers against incoming traffic from the Internet or from neighboring network devices on a private network. The impact of a denial of service attack is that a system would become unresponsive due to memory consumption. However, a successful attack requires a sustained flood of specially crafted TCP packets, and the system will recover once the flood ceases. This makes the severity rating Low for Windows XP. Windows XP is not affected by CVE-2009-1925. Customers running Windows XP are at reduced risk, and Microsoft recommends they use the firewall included with the operating system, or a network firewall, to block access to the affected ports and limit the attack surface from untrusted networks.
P.S. Для тех кто в танке - формально все верно. В фазе рашсиренной поддержки hotfix бесплатный только security. Остальные хоификсы только по отдельному соглашению. Remote code execution хотфиксы выпущены, для сервера 2003 hotfix выпущен - там служба работает.
Потенциальный Denail of service на службе Licensing, которая не нужна для работы и по-умолчанию выключена в системе XP, т.е. фактически риска нету для системы из поставки, поэтому и хотфикса согласно политики тоже нету.
Все по политикам поддержки, как обещали. Проблема для XP не актуальна в повседневном использовании - вот ответ почему нет хотфикса.
Сейчас читают
Куда идти учиться после школы? Оставаться в 9 или идти до 11?
271783
227
Перерегистрация авто
87858
21
Бесплатные юридические консультации (часть 5)
823015
995
Много букав. Не осилил.
Актуально, не актуально...
А когда проблема у пользователя возникает и выясняется что ее вовремя не закрыли
то тут никакие отписки не проканают.
А кратко суть такова, что МС просто не в состоянии разгрести ту кашу что сам наваял.
Выходят же на ХП заплаты на другие ошибки. И "менее значимые".
А тут "не шмогли". Странно это...
А защиту врубать не каждый сможет. Тут все ж надо хотя бы знать куда лезть.
Это я про простых пользователей.
Хотя по-умолчанию в последних паках это врубается.
Но даже если и есть эта защита, то ее надо хоть маленько поднастроить.
И даже в этом случае никто не гарантирует "трабла" при выходе в большой и страшный Интернет.
Актуально, не актуально...
А когда проблема у пользователя возникает и выясняется что ее вовремя не закрыли
то тут никакие отписки не проканают.
А кратко суть такова, что МС просто не в состоянии разгрести ту кашу что сам наваял.
Выходят же на ХП заплаты на другие ошибки. И "менее значимые".
А тут "не шмогли". Странно это...
А защиту врубать не каждый сможет. Тут все ж надо хотя бы знать куда лезть.
Это я про простых пользователей.
Хотя по-умолчанию в последних паках это врубается.
Но даже если и есть эта защита, то ее надо хоть маленько поднастроить.
И даже в этом случае никто не гарантирует "трабла" при выходе в большой и страшный Интернет.
Очень коротко.
Рядовых пользователей Windows XP данная проблема фактически не затрагивает. Тем более если у них система имеет настройки по умолчанию SP2(SP3).
Проблема действительно есть в теории и для тех, кто неправильно твикает систему.
Рядовых пользователей Windows XP данная проблема фактически не затрагивает. Тем более если у них система имеет настройки по умолчанию SP2(SP3).
Проблема действительно есть в теории и для тех, кто неправильно твикает систему.
Ну да, в теории...
А в вирусах не в теории используются такие "дыры".
А в вирусах не в теории используются такие "дыры".
Еще раз, там где не в теории может быть использована дырка (Remote Code Execution) есть заплатка. В XP такая дырка использована для Remote Code Execution не может.
Ладно. Спорить не будем время покажет.
Просто обратил на себя внимание подход МС к такой проблеме.
Просто обратил на себя внимание подход МС к такой проблеме.
ТОП 5
1
2
3
4