Sıfır Gün Aciklari Kimin Umrunda

[megabros]

Birkac gundur yine Microsoft Internet Explorer'da saptanan ve "createTextRang"/"checkbox" vulnerability (ref 1) olarak anilan bir aciktan etkileniyoruz. Acik 0 (yaziyla sifir ! - burasi cok onemli, anladiginizdan emin olun) gün acigi, yani ortada sozkonusu bir yama yok ama herkesin elinde bir exploit (ref 2) gununu gun ediyor.

 

Hatta Microsoft ile iyi gecinen kurumlardan Eeye Digital bile durumla ilgili unofficial bir cozum onerdi,,

Haber bu mudur ? bence degil, cunku sifir gun aciklari ile daha once de ugrasmistik, elbette herkesin kendince cozum onerileri bulunuyor. Esas nokta ,ki bence cok daha onemli, buyuk yazilim firmalarinin (Temsilen taslarimizi Microsoft'a atacagiz) guvenlik acigina karsi yama gelistirme sureci olmali diye dusunuyorum.

Buyuk firmalarin sahip olduklari yazilimin genel kullaniminin fazla olmasi, cok sayida farkli surumun olmasi ve uzerinde yapilacak degisikligin her platformda farklilik olusturmasi ayaklarina takilan en buyuk engel.

Ancak unutulmamali ki bu engel, yazilimin parasini odeyen ve bu yazilim araciligiyla sisteminde guvenlik gedikleri olusan bizlerin umrunda olmamali. Bizi ilgilendiren esas nokta, soz konusu guvenlik aciginin duyurusunu takiben sorumlu kurumun kac gunde harekete gecip cozum urettigidir.

Tamam zorluklar nedeniyle 5-6 gün hos gorulebilir, en azindan ben goruyorum. Cunku yazilim buyuk olabilir, etkiler farkli olabilir veya isletim sistemi platform farkliliklari cozumun gercekci olmasini engelleyebilir. Ancak muhtemel guvenlik aciginin etkilerini (en azindan herkesce yayilmaya baslamis exploit'leri) devre disi birakmak icin gereken hareketin 3-5 kod degisiminden ote yazilim icin yeni bir servis paketine donusmesi kabul edilebilir degildir. Cunku 2. durumda surec devasa olacak ve bu surede bizler riski --- zorunlu olarak --- tasimis veya alternatif cozumlerle (guvenilirligi tartisilir) basbasa olacagiz.

Gelin tum bunlarin isiginda en carpici ornegimize bakalim, guvenlik aciginin Microsoft'a bildirilmesini takiben yamanin ve duyurunun hazirlandigi tarih arasindaki surelere birkac ornek ;

ms06-005 (120 gün)
ms06-002 (163 gün)
ms05-055 (204 gün)
ms05-053 (224 gün)
ms03-053 (68 gün)
ms05-051 (95 gün)
Detayli bilgi : Referans 5 ve sonrasi

Soz konusu rakamlari nereden bulduk ? Eeye Digital (ki kendisi Microsoft'un cozum ortaklarindan) tarafindan Microsoft'a iletilen guvenlik aciklarinin gelisim bolumlerinden.

Bir diger durum ise 0 gun aciklari ile ilgili Aralik ayinda ortaya cikan WMF acigi (ref 4) 28 aralik 2005'te duyuruldu, yama ise acilen 5 Ocak 2006'da (bir yil gecmis yahu diyenlere de elestiri dozunu ayarlayalim, insaf diyorum) yayinlanmisti.

Yani guvenlik acigini bulan firma yayinlamiyorsa riskin tasinmasi ve acigin kapatilmasi icin gelistirilen yamanin duyurulmasi bekleyebilir. Nasil olsa sadece Eeye Digital sozkonusu acigi biliyor ve onlar guvenilirler, degil mi ? Ayrica baskalari bilse ne olur, netice de en onemli konu bunun aciklanmasi oyle degil mi ? Birileri duyurulardaki guvenlik gediklerinin detayli aciklamasinin neden yapilmadigini mi soruyor ?

Saygılar.