Уязвимость Windows в win32k.sys

bALMER · 10-12-10 01:59:01

Svart Testare пишет:

bALMER пишет:
да написано, что винда самая безопасная ос в мире
Я в этом нисколько не сомневаюсь

А я сомневаюсь. Ведь статистика распространения заразы говорит сама за себя. И дело не в пользователях, а в системе. Пример, был знакомый программист, который поставил ХР, сп3(с обновлениями), антивирь и словил локер. То что он не лазил по "стремным" сайтам я лично гарантирую, т.к. дело было на работе. У каждого своя история)

bALMER · 10-12-10 02:06:32

Svart Testare пишет:

Ну вы ж знаете как винлокер ставился? Подсунулся он вашему программисту под видом кодека и всё. Тот согласился и заразился, так как скорее всего сидел под админом.

Мы говорим о безопасности. Почему сторонняя программа может заблокировать компьютер? Это ли не дыра в безопасности?

Svart Testare пишет:

Уязвимости же Windows здесь не при чём.

Вот только не начинайте, я вас прошу)

bALMER · 10-12-10 02:14:32

Svart Testare пишет:

Такое возможно исключительно под админом, потому что под стандартным пользователем ни Windows, ни тем более MSE не позволят процессу писать в ветку HKLM. Это просто невозможно. Вот вам реальный пример почему фигово сидеть под административной учёткой. Будь ваш знакомый под стандартным пользователем, он бы получил сообщение от системы о том, что требуются повышенные привилегии, так как некий процесс хочет писать в реестр и скопировать себя в системный каталог (в данном случае это C:\Windows\System32).

Будь мой знакомый не прогером на с++, который активно работает с реестром, то конечно, но! Кто защити админа? Мы говорим о защищенности виндов. Не о защищенности виндов+антивирь+файрвол+.... Вот и получается, что голая винда, даже без явных дыр может стать неработоспособной.

bALMER · 10-12-10 02:35:17

Svart Testare пишет:

Вы или невнимательно читали, что я написал, или сознательно не хотите вникать в суть написанного.
Резюмирую: нормальная работа это когда пользователь под стантарной учёткой сидит. Пока он не даст своего явного разрешения на административные действия, никакой Winlock системе не грозит. Последнее слово всегда за пользователем.
Админа защищать не нужно, потому что под ним не нужно сидеть вообще.

ну, а что делать людям, которым нужны возможности админа? Как бы именно про это я писал в примере. Единственный вариант который я вижу - заклеить юсб скотчем, выкинуть сидюк и отключится от сети, имхо.

Linfan · 10-12-10 02:36:56

Svart Testare пишет:

petrun пишет:
Если что-то таки запустится из-под админа, его нужно максимально урезать в правах.
Без согласия пользователя ничего не запустится. Все эти «локальные повышения привилегий» так и остаются в теории, а на практике нет ни единой рабочей заразы, которая бы сначала пробила бы стандартного пользователя, а потом бы уже нагадила с правами админа. Да так, чтобы этого пользователь не заметил!

А в суровой действительности, пользователи венды качают разные там ZverCD со встроенными ботнетами, ну или кряченные проги с прикрученной к ним заразой. Зачем напрягаться, если сама ситуация с системой такая? big_smile

Linfan · 10-12-10 02:40:46

Svart Testare пишет:

Linfan пишет:
Ослеживать все вызовы WinAPI...
Вот что я нарыл из открытых источников (закрытые опрошу позднее):

Это все касается лишь части из возможных путей проникновения заразы и ее фунциклирования на машине. MSE не "silver bullet" при всех стараниях МС, поскольку это игра в догонялки.

Добавлено спустя 04 мин 08 с:

Svart Testare пишет:

Очевидно, есть. Но где они в работе? Где массовые самоубийства леммингов ботнеты, эпидемии и другие последствия? Я бы сам с удовольствием хотел бы узнать о них и проанализировать.

"гражданина! ты туда не хады, ты сюда хады" (с) : https://highloadlab.com/blog/item_162.html

Там есть карта ботнетов, так, для общего развития. Причем это не полные данные. Когда сталкиваешься с этим в реальности - волосы дыбом встают. Ессно все ботнеты вендячие.

bALMER · 10-12-10 02:46:33

Svart Testare пишет:

А зачем программисту права админа? Я имею в виду — постоянно.

что бы активно работать с реестром, как он это делал в 95, NT, 2к...

bALMER · 10-12-10 02:52:40

Svart Testare пишет:

Кстати, одно из требований к программам для XP/Vista/7 — поддержка работы под учётной записью с ограниченными правами.

ссылочку дайте, скиду товарищу. Пусть почитает, раз под винду кодит.

Linfan · 10-12-10 02:55:43

Svart Testare пишет:

Linfan пишет:
Ессно все ботнеты вендячие.
Там нет никаких данных для анализа, чтобы утверждать, что эти ботнеты возникли не в результате халатности пользователей, игнорирующих обновления, а, например, в результате какой-то 0-day уязвимости, которую на момент развития эпидемии Microsoft ещё не успела пофиксить и компьютеры были беззащитны.

Когда серьезным ддосом конкуренты положат лично ваш бизнес в инете - вам будет "опсалютно" пофиг причины, по которым эти ддосы возможны и что МС делала когда-то там. Важен будет один факт - экосистема ддосов сидит на вендячей платформе.

bALMER · 10-12-10 02:59:04

Svart Testare пишет:

https://www.microsoft.com/rus/windows/ap … fault.mspx

спасибо конечно, но я говорю об ХР сп3!

Форум StopLinux

Объявление

#51 10-12-10 01:59:01

Re: Уязвимость Windows в win32k.sys

#52 10-12-10 02:06:32

Re: Уязвимость Windows в win32k.sys

#53 10-12-10 02:14:32

Re: Уязвимость Windows в win32k.sys

#54 10-12-10 02:35:17

Re: Уязвимость Windows в win32k.sys

#55 10-12-10 02:36:56

Re: Уязвимость Windows в win32k.sys

#56 10-12-10 02:40:46

Re: Уязвимость Windows в win32k.sys

#57 10-12-10 02:46:33

Re: Уязвимость Windows в win32k.sys

#58 10-12-10 02:52:40

Re: Уязвимость Windows в win32k.sys

#59 10-12-10 02:55:43

Re: Уязвимость Windows в win32k.sys

#60 10-12-10 02:59:04

Re: Уязвимость Windows в win32k.sys

Подвал форума