Pericoli di una vulnerabilità in un programma di installazione locale?

1

Ho inviato un messaggio al mio responsabile di sviluppo per un overflow del buffer nel nostro programma di installazione (ampiamente distribuito) e ho ricevuto una risposta che non aveva importanza in quanto non era il codice del server.

Oltre al fatto che se può essere corretto, non c'è una vera ragione per non farlo, mi sembra di dimenticare alcuni dei motivi per cui questo può essere un problema:

  • Problemi relativi all'esperienza utente
  • Possibile escalation dei privilegi
  • Chiave prodotto non valida per una connessione inversa

Mi sento come se ci fossero ancora cose a cui non sto pensando che potrei parlargli di ragioni diverse da "solo perché".

    
posta doyler 06.08.2012 - 16:56
fonte

1 risposta

2

L'unico modo in cui posso affermarlo con assoluta chiarezza è il seguente:

Una vulnerabilità è una vulnerabilità è una vulnerabilità.

Non applicare patch al problema è un esercizio di estrema irresponsabilità.

Motivi tecnici:

  • Possibile escalation dei privilegi.
  • Arresta da file di input danneggiati, causando problemi di UX e altri problemi.
  • Se un utente vede un file innocuo (cioè non un eseguibile), può presumere che sia sicuro da usare, quindi viene pwnato quando risulta pieno di shellcode.
  • Potresti spedire il programma di installazione con un software sensibile alla sicurezza.

Motivi commerciali:

  • I tuoi clienti ti pagano. Fai proprio loro, perché tengono a galla la tua azienda.
  • Se un blackhat sfrutta il tuo difetto, sarà un incubo PR e dovrai comunque correggere l'errore. È logico spendere il tempo di sviluppo su questo ora, piuttosto che dopo.
  • Se il pubblico scopre che tu lo sapevi e non l'hai mai risolto ... beh, ottieni l'immagine.
  • Puoi e verrà denunciato da aziende che perdono dati a causa di vulnerabilità nel codice, soprattutto se sanno che potresti averlo impedito.

Infine, una ragione etica. Se il tuo programma di installazione è così diffuso come sembra (ad esempio i nomi di InstallShield, Nullsoft, ecc.) Molto probabilmente avrai clienti il cui software è sensibile alla sicurezza. Questo potrebbe essere qualcosa di importante come TrueCrypt o Tor, in cui le persone possono essere letteralmente ferite o uccise per problemi di sicurezza.

Fai la cosa giusta. Risolvi il bug. Se è resistente anche dopo questo, potresti voler offrire di farlo nel tuo tempo libero, anche se fa schifo che devi lavorare non retribuito.

Con una nota un po 'meno seria, se scopro che sto eseguendo il tuo software di installazione e scopro che devi cagnare alla gestione per correggere un bug di sicurezza, probabilmente sto per scappare dalla tua azienda così:

    
risposta data 06.08.2012 - 17:11
fonte