Les experts en sécurité sont exhorte Microsoft et Juniper pour patcher une vulnérabilité IPv6 ans si dangereux, il peut geler toute machine Windows sur un réseau local dans une affaire de minutes.
Microsoft a minimisé le risque parce que le trou nécessite une connexion physique au réseau local câblé. Juniper dit qu'il a retardé un patch parce que le trou ne concerne qu'un petit nombre de ses produits et il veut l'IETF pour fixer le protocole à la place.
Il vulnérabilité a été découvert initialement en Juillet 2010 par Marc Heuse, une sécurité informatique consultant à Berlin. Il a trouvé que les produits de plusieurs fournisseurs étaient vulnérables, y compris toutes les versions récentes de Windows, les routeurs Cisco, Linux et de Juniper Netscreen. Cisco a publié un patch en Octobre 2010, et le noyau Linux a depuis été corrigés. Microsoft et Juniper ont reconnu la vulnérabilité, mais ni sont engagés à des correctifs.
Le trou est dans une technologie connue sous le nom des annonces de routeur, où les routeurs diffusent leur adresses IPv6 pour aider les clients à trouver et se connecter à un sous-réseau IPv6. L'attaque DoS consiste à inonder le segment de réseau avec les AR aléatoires, qui dévore les ressources du processeur dans Windows jusqu'à ce que le CPU est surchargé et un hard reboot est nécessaire.
"Pour Windows, un pare-feu personnel ou un produit de sécurité similaire ne protège pas contre cette attaque, que les règles de filtrage par défaut permettent à ces paquets à travers», explique Heuse
.
Heuse est devenu tellement frustré par le refus de Microsoft de réparer le trou que il a publié ses conclusions à la divulgation pleine liste de diffusion sur Avril 15. Il note que Microsoft n'a même pas émis un avis de sécurité aux utilisateurs d'avertissement du problème.
D'autres experts de réseau et de sécurité de Windows ont également exhorté Microsoft pour résoudre le problème, et les sources ont dit qu'il ya même des employés à l'intérieur de Microsoft qui ont essayé de pousser la société à l'action.
Microsoft a peu à dire sur la assujettir. "Microsoft est conscient de discussions dans la communauté de sécurité concernant une technique par laquelle un serveur Windows ou poste de travail sur un réseau cible peuvent rencontrer une utilisation élevée des ressources spontanée causée par un attaquant diffusion malveillants annonces de routeur IPv6.
La méthode d'attaque décrit
exigerait qu'un att