Mecanismo de parches y agujeros de seguridad

6

Permítame aclarar dos métodos para parchar software y luego iré directamente a la pregunta:

Estoy usando MAC OS X y Windows, y me interesan los diferentes mecanismos de estos dos sistemas operativos famosos para manejar las actualizaciones de software.
 Cuando hay una actualización disponible en OS X, generalmente está disponible una renovación completa de la parte problemática y me parece que la renueva por completo, pero cuando hay una revisión para Windows disponible, esta revisión suele ser tan pequeña (en comparación con lo que descargamos del sitio de apple).

Me pregunto cuáles son los pros y los contras de tales mecanismos (hacia el objetivo de seguridad de ese software) y no me importa quién está en lo correcto o no, necesito una comparación de los efectos de seguridad que estas técnicas de administración de parches pueden causar y la cantidad de mano de obra y efectos secundarios en diferentes estrategias de administración de parches (si es tan amplio, una referencia puede ser suficiente para darme una pista sobre cómo comenzar). {Proporcione respuestas constructivas y evite culpar a cualquier proveedor de software, especialmente a los dos mencionados anteriormente en cualquier parte de su respuesta. Esta es la política de este foro en lo que a mí respecta. Gracias}

    
pregunta Yasser Sobhdel 19.04.2011 - 09:38
fuente

2 respuestas

4

Básicamente, esto se reduce a si el parche se entrega como un conjunto de archivos de reemplazo o un conjunto de "diferencias binarias" que se aplicarán a los archivos existentes.

  • Por lo general, es más fácil actualizar una versión anterior arbitraria del software desde los archivos de reemplazo. Por ejemplo, si tiene 1.0.2 de un componente y el parche entrega 1.0.7, con el reemplazo, simplemente siga adelante e instálelo. Con diffs (a menudo) debe ir a través de 1.0.3, 1.0.4, etc. Recuerdo que el mecanismo de parcheo de Solaris tiene esta característica interesante (y tener que instalar cada parte manualmente, antes de que se lanzara PatchPro).
  • Por lo general, es más rápido descargar las actualizaciones de diferencias binarias.
  • Es más probable que una instalación de componentes de reemplazo tenga éxito si los archivos originales se han modificado de alguna manera. Sin embargo, no debería confiar en el administrador de parches como su comprobador de integridad de todos modos.

De hecho, en mi experiencia, la "seguridad" de un parche no se basa en el mecanismo de instalación (excepto en que, por lo general, el manual es automático), sino en estas dos cosas:

  1. Lo más importante es la latencia entre la disponibilidad y la instalación del parche. Ver, por ejemplo, el gusano Slammer.
  2. La cantidad de pruebas realizadas por el proveedor antes de distribuir el parche.
respondido por el user185 19.04.2011 - 10:10
fuente
1

En principio, no hay diferencia entre los parches al instalar todo el nuevo binario en lugar de parchear por diffs, de cualquier manera terminará con el mismo estado de destino suponiendo que ambos se implementen correctamente.

La aplicación de parches por diffs (generalmente) va a ser más eficiente en términos de ancho de banda, pero (si está implementando la aplicación de parches para su propio software) también va a ser más compleja porque necesita atender todas las diferentes versiones antiguas. del software que puede tener el cliente (además de todas las versiones anteriores de los formatos de datos, si estos han cambiado).

También se podría argumentar que una mayor complejidad en la aplicación de parches diferenciales significa una mayor probabilidad de errores de implementación, algunos de los cuales serán relevantes para la seguridad, y probablemente la mayoría de los cuales daría como resultado un sistema que no funciona.

    
respondido por el frankodwyer 19.04.2011 - 12:29
fuente

Lea otras preguntas en las etiquetas