Nová bezpečnostná chyba vo Viste
Toto už naozaj ale chalpci z Redmondu posrali. Nie som programátor ale podľa dostupných infoprmácii sa o tejto chybe vedelo, ale “kašľalo” sa na ňu. O čo vlastne ide?
Dvaja “maníci” Mark Dowd of IBM Internet Security Systems (ISS) a Alexander Sotirov, of VMware Inc., objavili bezpečnostnú dieru vo Viste, pomocou ktorej dokázali obísť všetky bezpečnostné ochrany vo Viste. S touto “metódou” obišli Address Space Layout Randomization (ASLR), Data Execution Prevention (DEP) a iné ochrany, ktoré zabraňujú nahratiu neželaného obsahu do klientského pc cez internetový prehliadač. Títo “bádatelia” boli schopní pri použití chyby, nahrať do pamäte čokoľvek čo chceli pomocou Javy, ActiveX alebo .NET objektov. Toto bolo dosiahnuté vďaka spôsobu akým Internet Explorer (A INÉ PREHLIADAČE) pracujú s operačným systémom.
Podľa niektorých je to bežná bezpečnostná chyba, podľa iných je len veľmi malá pravdepodobnosť a spôsob ako by mohol Microsoft túto chybu ošetriť. Je úplne iná ako ostatné chyby, ktoré boli založené na chybách programov… Oni dokázali nahrať do pamäte čo chceli a s právami aké chceli …
Microsoft sa oficiálne k tomu nevyjadril, ale Mike Reavey, group manager Microsoft Security Response Center, povedal, že už sa pracuje na vyriešení tohto problému.
Neviem či sa to oplatí prekladať …
"This is not insanely technical. These two guys are capable of the really low-level technical attacks, but this is simple and reusable," Dai Zovi said. "I definitely think this will get reused soon."
A tu je celý “white paper” , ktorý popisuje celú chybu. Má zaujímavý názov a zaujímavejší podtext …
Bypassing Browser Memory Protections
Setting back browser security by 10 years
UPDATE:
takže by to malo byť už opravené, ale nechce sa mi veriť, že by MS tak neuveriteľne promptne reagoval; Microsoft Security Bulletin MS08-046 – Critical