Megerősítette a Microsoft, hogy a Windows XP pszeudo-véletlenszám generátorát érinti ugyanaz a hiba, amelyet izraeli egyetemisták fedeztek fel a Windows 2000-ben a múlt héten. A Windows Vista, valamint a két újabb szervertermék (2003, 2008) nem érintett az ügyben.
2007.11.23 15:36 hwsw.hu
Az SP3-ban jön a javítás
A pszeduo-véletlenszám generátor (PRNG) egy számsorozatot hoz létre, amely nagyon hasonlatos a véletlenszámok sorozatához, ám valójában nem teljesen véletlenszerű, néhány előre beállított paraméter alapján megismételhető a sor. A Windows 2000 és a Windows XP a pszeudo-véletleszámokat használja fel a titkosítási kulcsok létrehozásához. Izraeli diákok rájöttek, miként lehet a várható titkosítási kulcsokat megjósolni, illetve akár a korábban létrehozottakat újra előállítani — ezáltal bármilyen titkosított információ hozzáférhető a gépen.
A Microsoft a héten kénytelen-kelletlen elismerte, hogy a Windows XP ugyanazt a pszeudo-véletlenszám generátort használja, amelyet a Windows 2000-ben vezettek be (a két termék részben azonos kódbázisra épül), így ez az operációs rendszer is áldozatul eshet a PRNG hibáját kihasználó támadásnak. A Windows Vistában, a Windows Server 2003-ban, valamint a Windows Server 2008-ben már eltérő algoritmust alkalmaztak, így ezek a szoftverek nem érintettek ebben az ügyben. A Windows XP-hez majd a harmadik szervizcsomagban (SP3) érkezik a javítás.
Biztonsági rés-e?
A Microsoft és a hibát felfedező egyik diák, Benny Pinkas nem értett egyet azt illetően, hogy a PNRG problémája vajon biztonsági rés-e. A PRNG gyengesége a Microsoft szerint nem jelent komoly biztonsági kockázatot, ugyanis ahhoz, hogy a támadó ennek kihasználásával jelszavakat fejtsen vissza, már adminisztrációs joggal kell rendelkezzen”A támadás sikeres kivitelezéséhez adminisztrációs jogosultságok szükségesek, és ezek birtokában a rendszeren tárolt összes fájl amúgy is elérhető” — állítja a Microsoft. A hibát felfedező diákok szerint ugyanakkor a ma elterjedt kártékony kódokkal adminjogokat szerezni viszonylag egyszerű, éppen ezért a veszély valós.
Benny Pinkas, a hibát felfedező egyik diák mindazonáltal örömmel vette tudomásul, hogy a Microsoft elismerte: a helyzetet mindeképp kezelni kell és az SP3-ban javítják is ezt a sebezhetőséget. Azt azonban nem tudni, hogy a Windows 2000-et is befoltozza-e a szoftveróriás, azonban mivel a Microsoft szerint a leírt probléma nem biztonsági rés, valószínűleg nem adnak ki patchet a szoftverhez annak ellenére sem, hogy a Forrester szerint az amerikai és európai vállalati PC-k közel 10 százalékán fut még ma is Windows 2000.
november 24th, 2007 at 15:33
Ez is igazolja, hogy akinek van egy csepp esze, az nem a Window$t használja, hanem a sokkal jobb, megbízhatóbb, személyre szabhatóbb, és JOGTISZTÁN INGYENES Linux operációs rendszert!
Én is azt teszem évek óta, nincs is idehaza Window$om, és nem is érzem a hiányát. Sőt: iszonyatos tragédiának érezném, ha vissza kéne térnem a Windows nevű bitszeméthalomhoz!
november 30th, 2007 at 21:03
Persze kínlódj csak a linux-szal, meg a 9000000 verziójával… inkább bevédem a windowsomat mint azt a vackot használjam. Mellesleg aki kicsit ért a témához megtudja úgy oldani, hogy ne kelljen ilyen apróságokon problémáznia… 😉