Image
31.7.2014 0 Comments

Ako je to s údajnými zadnými vrátkami v softvéri Microsoftu?

INT_softver Microsoftu.jpg Scott Charney, jeden z najvyšších predstaviteľov bezpečnostného oddelenia Microsoftu, pred niekoľkými dňami vyhlásil, že vláda nikdy nepožiadala spoločnosť o inštalovanie zadných vrátok do jej produktov.

Dokumenty zverejnené Edwardom Snowdenom však naznačujú, že Microsoft i ďalšie veľké firmy mohli implementovať zadné vrátka do svojho softvéru a služieb. Konkrétne Microsoft vraj úzko spolupracoval s americkou vládou pri získavaní obsahu komunikácie zákazníkov. V tejto súvislosti sa nedávno objavila zaujímavá informácia.

Francúzsky tím profesionálnych hľadačov chýb v softvéri VUPEN informoval o tom, že v prehliadači Internet Explorer objavil 12. februára 2011 kritickú zraniteľnosť CVE-2014-2777, ktorú Microsoft opravil až v júni tohto roka. Exploity sú každodenným chlebom firiem zaoberajúcich sa penetračným testovaním a hľadaním chýb v softvéri, tie však objavené zraniteľnosti držia pod pokrývkou. VUPEN chybu odhalil až na hackerskej súťaži Pwn2Own, ktorá sa konala v marci tohto roka. Microsoft ju potom opravil 17. júna.

Chyba sa týkala verzií IE 8 až 11 a umožňovala vzdialenému útočníkovi obísť chránený režim sandboxu. Útočník tak mohol napríklad nainštalovať zadné vrátka do systému bez vedomia používateľa. Stačilo, aby používateľ navštívil nebezpečnú stránku alebo spustil pripravený súbor .exe.

VUPEN sa špecializuje na hľadanie zero-day zraniteľností v softvéri popredných výrobcov (Adobe Reader, Internet Explorer, Mozilla Firefox, Adobe Flash, Google Chrome a pod.) s cieľom predať ich tomu, kto ponúkne najviac. Zvyčajne sú jeho zákazníkmi orgány činné v trestnom konaní, vlády a spravodajské služby, prípadne iniciatíva HP ZDI (Zero Day Initiative).

Microsoft ukrýval aj ďalšiu zero-day zraniteľnosť v Internet Exploreri 8 od októbra 2013, ktorá umožňovala vzdialenému útočníkovi spustiť ľubovoľný kód pomocou chyby v CMarkup objects.

Vynára sa teda otázka, či Microsoft ukryl tieto zraniteľnosti vo svojom prehliadači zámerne alebo mu tak málo záleží na bezpečnosti používateľov, že jeho bezpečnostný tím počas troch rokov neodhalil kritickú chybu.

Zdroj: theregister.co.uk
thehackernews.com


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Produkty 1

iPhone so zaobleným displejom OLED má prísť už na budúci rok

02.12.2016 09:48

Ázijskí dodávatelia Applu hovoria, že cupertinská spoločnosť ich požiadala, aby zvýšili výrobu tenších panelov OLED a predložili jej prototypy obrazoviek s vyšším rozlíšením, ako má Samsung. Keďže Ap ...

Produkty

GPD Win – miniatúrny herný notebook s Windows 10 a hernými ovládačmi

02.12.2016 00:22

Zvykli sme si, že s operačným systémom Windows sa nestretávame len na stolových a prenosných počítačoch, ale aj ďalších zariadeniach, siahajúcich od lacných tabletov typu 2-in-1 až po minipočítače. Je ...

Produkty

Strojové učenie Google TensorFlow bude podporovať Windows

01.12.2016 00:13

V týchto dňoch Google zaviedol podporu operačného systému Windows pre svoje strojové učenie TensorFlow. To bola totiž jedna z prvých požiadaviek, ktoré dostali vývojári po tom, čo z TensorFlow urobili ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá