En tilsynelatende svært alvorlig sårbarhet skal ha blitt funnet i teknologiene de fleste bedrifter og andre benytter for å dele filområder og skrivere i lokalnettet. Det dreier seg om Microsofts SMB/CIFS-protokoller, som støttes av alle Windows-pcer, men også av andre plattformer, blant annet ved hjelp av den åpen kildekodebaserte Samba-programvaren.
Både Microsoft og Samba-prosjektet skal gi ut sikkerhetsoppdateringer som retter problemet den 12. april, skriver The Register.
Badlock
Det er sjelden man får tre ukers varsel om kommende sikkerhetsoppdateringer. Noe av hensikten er å gjøre systemadministratorene og andre forberedt, slik at så mange som mulig kan installere sikkerhetsfiksen i tiden rett etter at den er utgitt.
Sårbarheten, som har fått navnet Badlock, ble oppdaget av Stefan Metzmacher, som er ansatt ved SerNet og medlem av Samba Core Team.
Siden sårbarheten ikke bare gjelder én programvare eller plattform, tyder det meste på at det er dreier seg om en designfeil i protokollen.
Hype?
Men ikke alle i sikkerhetsfellesskapet virker like imponert over måten Badlock har blitt gjort kjent på, med eget navn, logo, lanseringstidspunkt og nettsted drevet av SerNet.
#Badlock is likely the worst example of marketing & hype for a vulnerability we've seen to date. Sad really.
— Steve Ragan (@SteveD3) 23. mars 2016
Lanseringstidspunktet er tilfeldigvis Microsofts vanlige patche-tirsdag, altså den andre tirsdagen i måneden. At alvorlige sårbarheter har fått et eget navn og nettsted, har skjedd flere ganger de siste årene, en trend som i alle fall Heartbleed bidro sterkt til.
Andre mener at oppmerksomheten alt dette skaper, kan bidra til at flere installerer sikkerhetsfiksen raskere.
I would rather an important vulnerability be fixed before it’s a problem then not. If PR helps - so be it. #badlock https://t.co/1iUyly1trZ
— Sean Kerner (@TechJournalist) 23. mars 2016
Forsprang
Noen er dog skeptiske til at informasjonen, selv om det egentlig bare dreier seg om et navn, har blitt offentliggjort så tidlig. De mener at det kan gi ondsinnede hackere et forsprang, siden sikkerhetsoppdateringene tross alt ikke kommer før om tre uker. Det avhenger litt av hvor beskrivende Badlock-navnet egentlig er.
@dlitchfield @SushiDude @_mr_me_ @wdormann I'm going to be fairly sad if badlock refers to the sort of bugs you'd expect around bad locking.
— Dan Kaminsky (@dakami) 23. mars 2016
