12 November, 2009

Windows 7 > proof-of-concept

Var bare et tidsspørsmål før noen laget proof-of-concept kode for sårbarheten i SMB2 (Server Message Block v2), eller enklere sagt: LAN fildelingen i Windows 7 og Windows Server 2008 R3.

Sårbarheten går ut på å lure noen som benytter Internet Explorer på disse to systemene til å klikke på en spesielt utformet link til en annen SMB-maskin på nettet, som lytter på SMB-porten og kjører et skreddersydd script som låser den besøkende maskinen.

Feilen har vært kjent en god stund, og det som uroer meg er at 'PoC'-en be laget før Microsoft har sluppet en fiks for sårbarheten. Dette er i grunnen ikke noe nytt, Microsoft venter som regel særdeles lenge med å fikse slike alvorlige feil før de får inn feilmeldinger om at feilen er benyttet av crackere i det fri.

Link:



Forundrer vel egentlig ingen som har fulgt med (eller utforsket i fortiden til Microsoft) på utviklingen hos Microsoft.

Mindre kjent er det kanskje at Windows' TCP/IP-stack (Internett-bibliotekene) er tatt direkte fra BSD Unix(!). Ja, faktisk er de fleste komponenter i Windows delvis basert på (eller direkte stjålet fra) andre prosjekter. Et annet eksempel på hvordan både Microsoft og Apple "låner" teknologi fra andre selskaper, var på 80-tallet da de "lånte" grafisk brukergrensesnitt (GUI) og mus-konseptet fra Xerox som var ledende på tekstbehandling og brukeropplevelser på den tiden.

Det at de "låner" det meste av koden de legger inn i Windows sier en del om hvorfor de bruker så lang tid på å luke ut bugs og sårbarheter i operativ systemet. Først og fremst fordi de ikke leier inn utviklerne av den originale tcp/ip-stacken i BSD, eller at de lar andre gå gjennom koden før den settes i praksis. De bare "låner", modifiserer og setter i produksjon.

I bunn og grunn kjører de på det faktum at de fremstiller teknologi på en slik måte mannen i gata forstår seg på, og gjør at han får lyst til å benytte det. Det er denne bruker- og PR-forståelsen som har gitt dem suksess år etter år etter år... Det er også denne sammensmeltingen av nisje-markeder og -teknologi for mannen i gata som har gitt dem et litt overskrytt renommé innen IT.

Dette IT-monopolet har diverse organer i den amerikanske regjering sett seg lei på, og det virker mer og mer som Microsoft holder på å løses opp, deles opp og regelrett bli tilsidesatt som hovedleverandør innen IT. Folk åpner øynene og ser hva som faktisk foregår bak jernteppet, og mange (inkludert personer med høyere makt) liker absolutt IKKE det de ser og hører.

De frie tøylene M$ alltid har hatt, er nok "på vei ut vinduet" :P hahaha

0 kommentarer :

Post a Comment