Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Kolejny raz okazało się, że stosowana przez Microsoft polityka udostępniania łatek jest po prostu zła. Nie tylko dlatego, że ukazują się one zaledwie raz w miesiącu. Zgłaszane błędy są usuwane z wielomiesięcznym opóźnieniem albo wcale, zwłaszcza w sytuacji, gdy ich odkrywca - w trosce o bezpieczeństwo użytkowników - nie upublicznia szczegółów znalezionych luk. Przekonał się o tym ostatnio Michał "lcamtuf" Zalewski, autor świeżo udostępnionego narzędzia cross_fuzz, z pomocą którego udało mu się znaleźć około setki dziur w różnych przeglądarkach.

Znany na całym świecie polski specjalista ds. bezpieczeństwa, obecnie pracownik Google'a, udostępnił cross_fuzza w pierwszy dzień nowego roku, podając na blogu informacje o dotychczasowych efektach wykorzystania tego narzędzia. A są one niebagatelne - luki zostały znalezione we wszystkich popularnych przeglądarkach. Te oparte o WebKit (a więc Chrome i Safari), Firefox, a także Opera w przeważającej mierze zostały załatane, choć ich twórcy muszą się jeszcze uporać z kilkoma trudniejszymi błędami.

Microsoft, podobnie jak inni producenci przeglądarek, zgłoszenie o lukach w Internet Explorerze otrzymał w lipcu ubiegłego roku, ale zbagatelizował sprawę. Opublikował, co prawda, kilka poprawek związanych z IE (ostatnio w grudniu), żadna jednak nie usuwała dziur znalezionych za pomocą cross_fuzza. W grudniu Zalewski poinformował giganta z Redmond, że zamierza upublicznić swoje narzędzie. Dowiedział się wówczas, że specjaliści Microsoftu nie byli w stanie odtworzyć zgłoszonych błędów.

>> Czytaj także: Użytkownicy Internet Explorera znów podatni na ataki

Twierdzenie to bez wątpienia mija się z prawdą, lcamtuf udostępnił bowiem producentom przeglądarek odnośnik do narzędzia, dzięki któremu udało się znaleźć luki w ich produktach. Microsoft nie podał, kiedy dokładnie można oczekiwać stosownych poprawek. Poprosił tylko Zalewskiego o wstrzymanie się z publikacją cross_fuzza, na co specjalista się nie zgodził.

Smaczku całej sprawie dodaje fakt, że jeden z wykrytych przez niego błędów w IE został prawdopodobnie znaleziony także przez bliżej nieokreśloną osobę z Chin. Parę dni przed upublicznieniem cross_fuzza odwiedziła ona bowiem URL, pod którym znajdowało się narzędzie, wpisując w wyszukiwarkę frazy mshtml +breakaaspecial oraz breakcircularmemoryreferences. Są one związane z nieujawnioną dotąd luką w Internet Explorerze i do momentu oficjalnej publikacji cross_fuzza nie występowały nigdzie więcej w sieci (zob. Niebezpiecznik.pl, cross_fuzz i 0day na IE (odkryty także przez Chińczyków)).

Może to oznaczać, że w Chinach trwają właśnie prace nad exploitem wykorzystującym daną dziurę. Czy zmotywuje to giganta z Redmond do szybszego przygotowania łatek? Chyba raczej nie. W grudniu, zaraz po załataniu jednej luki dotyczącej przetwarzania kaskadowych arkuszy stylów w IE, odkryto następną. Jeszcze przed świętami Bożego Narodzenia wykorzystujący ją moduł został dołączony do Metasploita - pakietu narzędzi ułatwiających analizowanie zabezpieczeń. Mimo to Microsoft ani myśli o przedterminowej poprawce.

>> Czytaj więcej: Kolejna luka zero-day w przeglądarce Microsoftu


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *