• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

Ridelight

Microsoft confirms that XP contains random number generator bug

15 mensagens neste tópico

A fix is coming next year in SP3; Vista, Server 2003 and Server 2008 immune

Windows XP, Microsoft Corp.'s most popular operating system, sports the same encryption flaws that Israeli researchers recently disclosed in Windows 2000, Microsoft officials confirmed late Tuesday.

The researchers, Benny Pinkas from the University of Haifa and two Hebrew University graduate students, Zvi Gutterman and Leo Dorrendorf, reverse-engineered the algorithm used by Windows 2000's pseudo-random number generator (PRNG), then used that knowledge to pick apart the operating system's encryption. Attackers could exploit a weakness in the PRNG, said Pinkas and his colleagues, to predict encryption keys that would be created in the future as well as reveal the keys that had been generated in the past.

As recently as last Friday, Microsoft hedged in answering questions about whether XP and Vista could be attacked in the same way, saying only that later versions of Windows "contain various changes and enhancements to the random number generator." Yesterday, however, Microsoft responded to further questions and acknowledged that Windows XP is vulnerable to the complex attack that Pinkas, Gutterman and Dorrendorf laid out in their paper, which was published earlier this month.

Windows Vista, Windows Server 2003 and the not-yet-released Windows Server 2008, however, apparently use a modified or different random number generator; Microsoft said they were immune to the attack strategy.

In addition, Microsoft said Windows XP Service Pack 3 (SP3), a major update expected sometime in the first half of 2008, includes fixes that address the random number generator problem.

Microsoft and Pinkas have argued over whether the flaw was a security vulnerability, with the former denying the bug met the definition and the latter claiming it is a serious problem that -- while it needs to piggyback on another, more common kind of exploit -- is far from just a theoretical threat.

Tuesday, even as it conceded that XP also had a weak PRNG, Microsoft continued to downplay the possibility of an attack. "If an attacker has already compromised a victim machine, a theoretical attack could occur on Windows XP," a company spokeswoman said in an e-mail. To exploit the PRNG's flaws, an attacker must have administrative rights to the PC, something that's easily obtained by most run-of-the-mill attacks, Pinkas noted.

Previously, Microsoft had used that prerequisite to reject any claim that Windows 2000 contained the security vulnerability, since Pinkas' proposed attack could not accomplish anything on its own. Microsoft stuck to that position with XP. "Because administrator rights are required for the attack to be successful, and by design, administrators can access all files and resources on a system, this is not inappropriate disclosure of information," the company spokeswoman added.

Newer operating systems, however, are completely in the clear. "Windows Vista, Windows Server 2008 and Windows Server 2003 SP2 are not affected by the type of attack Pinkas describes," said the spokeswoman.

Pinkas applauded Microsoft's decision to patch Windows XP. "We're happy to learn that Microsoft is acknowledging that our attack is indeed an issue, and will fix it in XP SP3."

While Microsoft said it will fix the PRNG in Windows XP, it remained mute about patching the flaw in Windows 2000. The aging operating system, which, according to a recent survey by Forrester Research Inc., still powers approximately 9% of all American and European business computers, is in the last stages of support. In that phase, dubbed "extended support," Microsoft is committed to providing only security updates free of charge.

Because the company has determined that the PRNG problem is not a security vulnerability, it is unlikely to provide a patch.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
Because the company has determined that the PRNG problem is not a security vulnerability, it is unlikely to provide a patch.

Ainda dizem eles que levam a segurança a sério...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
Because the company has determined that the PRNG problem is not a security vulnerability, it is unlikely to provide a patch.

Ainda dizem eles que levam a segurança a sério...

A falha em si não é de segurança. As consequências dessa falha é que são mais falhas de segurança. :P
0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Semantica...

Tudo se resume a semântica, e a Microsoft sabe-se aproveitar bem disso. :P
0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Para enganar as pessoas.

Sim. Mas afinal de contas, não é isso que o markting faz? Enganar as pessoas? :P
0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Para enganar as pessoas.

Sim. Mas afinal de contas, não é isso que o markting faz? Enganar as pessoas? :P

Supostamente não deveria ser. O marketing deve ser usado para promover algo, não para enganar possíveis consumidores. Já as técnicas de marketing usadas por cada empresa, dependem muito da própria filosofia da mesma: no caso da Microsoft, não sei até que ponto a filosofia deles seja orientada para a sinceridade.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Não confundas o marketing, com algumas politicas de marketing.

Achas que por exemplo as campanhas de informação sobre a sida são mentiras? É que isso também é marketing.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Achas que por exemplo as campanhas de informação sobre a sida são mentiras? É que isso também é marketing.

Estava apenas a referir-me ao markting empresarial (leia-se, publicidade de/sobre produtos/empresas).
0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Não deixas de estar errado!

Nem todo o marketing empresarial é baseado em mentiras, nem o marketing é publicidade. Publicidade é uma das ferramentas utilizadas pelo marketing, mas não é a única, por exemplo a estratégia de marketing de algumas empresas, nem prevê a utilização de publicidade (o exemplo mais conhecido de todos é o Google).

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Não deixas de estar errado!

Nem todo o marketing empresarial é baseado em mentiras, nem o marketing é publicidade. Publicidade é uma das ferramentas utilizadas pelo marketing, mas não é a única, por exemplo a estratégia de marketing de algumas empresas, nem prevê a utilização de publicidade (o exemplo mais conhecido de todos é o Google).

Concordo em parte.

Nem todo o marketing é baseado em mentiras, mas todo o marketing prevê uso de publicidade. Pode não ser propriamente o género de publicidade a que estamos habituados, com cartazes, panfletos, banners em jornais, etc, mas uma espécie de publicidade mais centrada na passagem de testemunho. Vou usar o exemplo que citaste falco, o Google. Apesar do Google não comprar uma margem publicitária no jornal mais lido de cada cidade e apesar de nunca sequer termos visto um cartaz na rua a anunciar o lançamento de um novo produto do Google, este aposta brutalmente na publicidade pessoa-a-pessoa. Hoje em dia já não notamos isso, pois toda a gente conhece o Google, mas aqui há uns 3/4 anos lembro-me de ouvir miúdos na minha escola a dizer "este site é que é altamente! Encontra tudo o que quiseres encontrar!".

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Não! Nem todo o marketing prevê publicidade!

Garanto-te eu que tenho um curso de marketing!

Isso da passagem de testemunho não é publicidade. É divulgação, mas não é publicidade.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Não! Nem todo o marketing prevê publicidade!

Garanto-te eu que tenho um curso de marketing!

Isso da passagem de testemunho não é publicidade. É divulgação, mas não é publicidade.

Ah, ok. Parece então que tenho de ser eu a rever o conceito de publicidade.

A generalização da palavra "publicidade" faz com que as pessoas achem que divulgação é estritamente igual a publicidade. E pensando bem, de facto, existem algumas diferenças.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Lol ? quem foi o tonho que disse que o marketing foi feito para enganar as pessoas??? lol? o marketing não e feito com esse proposito.... o que não quer dizer que a m$ não o faça LOOOOOOL

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora