Sælgere Fixing Bug, der kunne Crash Internet Systems

Internetinfrastrukturleverandører arbejder på patches for et sæt sikkerhedsfejl, der kan hjælpe hackere til at banke servere offline med meget lidt indsats.

Sikkerhedssamfundet har været summende om fejlene siden tirsdag, da sikkerhedsforsker Robert Hansen diskuterede Problemet på hans blog.

Tekniske detaljer om sårbarhederne er ikke blevet løsladt, men de sikkerhedseksperter, der opdagede problemet, Robert Lee og Jack Louis fra sikkerhedsleverandøren Outpost24, siger, at de kan banke Windows, Linux, indlejrede systemer og selv firewalls offline med det, der er kendt som DOS-angreb. Manglerne ligger i TCP / IP-softwaren (Transmission Control Protocol / Internet Protocol), som disse systemer bruger til at sende data over internettet.

[Yderligere læsning: Bedste NAS-kasser til streaming og backup af medier]

Lee og Louis diskuterede først problemet i sidste uge på en konference i Amsterdam, og mange af de berørte leverandører arbejder nu på at klarlægge spørgsmålet med hjælp fra det finske nationale nødhjælpshold, sagde Lee, der tilbragte det meste af onsdag og torsdag forklarede spørgsmålet.

"De leverandører, der er i stand til og ansvarlig for at skabe løsninger, er i gangen", sagde Lee, Outpost24s chef sikkerhedsansvarlig. "Den offentlige besked her er 'Chill out, de mennesker, der skal involveres, er involverede.'"

Han kunne ikke sige, hvor længe det ville tage for at løse problemet.

Microsoft sagde i en erklæring, at det var undersøge sagen, og at den var "uvidende om angreb, der forsøgte at bruge den påståede sårbarhed eller af kundens indvirkning." Men ifølge Hansen, hvis angreb forekom, kunne de være dårlige. Det skyldes, at de kan lanceres med meget lille båndbredde, og fordi de målrettede maskiner ofte vil blive deaktiveret, selvom DOS-angrebet er stoppet.

"Dette synes ikke at være en enkelt fejl, men faktisk mindst fem og måske lige så mange som 30 forskellige potentielle problemer, skrev Hansen, administrerende direktør for SecTheory, på sin blog. "De har bare ikke gravet langt nok ind i det for virkelig at vide, hvor slemt det kan få. Resultaterne spænder fra fuldstændig afbrydelse af den sårbare maskine, for at droppe legitim trafik."

Lee og Louis er indstillet til at diskutere fejlene to uger fra nu på T2-konferencen i Helsinki, men de vil ikke frigive yderligere detaljer, hvis fejlene stadig ikke er opdateret, siger Lee.

Chief Security Officer Arbor Networks Danny McPherson sagde, at mens du taler om fejlen uden at afsløre de tekniske detaljer, kan det generere buzz til Lee og Louis 'konference præsentation, det giver ringe værdi for brugerne. "Disse delvise oplysnin ger virkelig lidt mere end udløser et væld af skepsis," sagde han via instant message.