A Windows 8 sem törhetetlen

Az ismeretlen – ún. nulladik napi – sebezhetőségek keresésével és értékesítésével foglalkozó Vupen a múlt héten bejelentette, hogy sikerült olyan lyukakat találniuk a Microsoft legújabb operációs rendszerében és az Internet Explorer 10-ben, melyek kihasználásával át tudják venni az irányítást az ezeket futtató számítógépek felett. Chaouki Bekrar, a francia biztonsági cég vezetője a fejleményt egy tweetben tette közhírré.

A vezérigazgató az amerikai PC World-nek azt mondta: több sebezhetőség együttes használatára van szükség ahhoz, hogy egy weboldalon keresztül távoli kód végrehajtására lehetőséget adó jogokat szerezzenek Windows 8-on. A töréssel sikerült megkerülniük az új rendszerbe épített újabb védelmi eljárásokat – büszkélkedett. Ezek közé tartozik többek között az adatfuttatás-megelőzés (Data Execution Prevention, DEP), a véletlenszerűen kiosztott memóriacímek (High-entropy Address Space Layout Randomization, HiASLR), a return-orientált programok blokkolása (AntiROP) és az IE 10 védett módú homokozója.

Bekrar ugyanakkor az elismerését is kifejezte: szerinte a Windows 8 az eddigi legbiztonságosabb Windows, melyet rendkívül nehéz feltörni. A szakértő szerint a komplex védelem miatt időbe fog telni, míg a kiberbűnözők működő exploitot gyártanak a rendszerhez. A Vupen természetesen annál drágábban tudja adni az általa felfedezett sebezhetőségeket, minél nehezebb ilyeneket találni az adott szoftverben. A cég jellemzően nagyvállalatoknak és kormányzati szerveknek értékesíti a biztonsági rések dokumentációját, nyilatkozataik szerint bűnözőknek nem – de az etikailag vitatható üzleti modellből fakadóan azokat az érintett szoftverek gyártóival sem osztja meg.

A Microsoft a törés hírét nem kommentálta. A szoftvervállalat termékeinek biztonságáért felelős vezető a PC Worldnek azt mondta: mivel nem ismerik az eljárás részleteit, nem tudnak nyilatkozni.

Azóta történt

  • Megalakult az OWASP magyar tagozata

    Az első rendezvény szlogenje szerint határvédelem helyett biztonságos fejlesztés: a biztonsági réseket a programozók maguk hozzák létre.

Előzmények