Image
31.7.2014 0 Comments

Ako je to s údajnými zadnými vrátkami v softvéri Microsoftu?

INT_softver Microsoftu.jpg Scott Charney, jeden z najvyšších predstaviteľov bezpečnostného oddelenia Microsoftu, pred niekoľkými dňami vyhlásil, že vláda nikdy nepožiadala spoločnosť o inštalovanie zadných vrátok do jej produktov.

Dokumenty zverejnené Edwardom Snowdenom však naznačujú, že Microsoft i ďalšie veľké firmy mohli implementovať zadné vrátka do svojho softvéru a služieb. Konkrétne Microsoft vraj úzko spolupracoval s americkou vládou pri získavaní obsahu komunikácie zákazníkov. V tejto súvislosti sa nedávno objavila zaujímavá informácia.

Francúzsky tím profesionálnych hľadačov chýb v softvéri VUPEN informoval o tom, že v prehliadači Internet Explorer objavil 12. februára 2011 kritickú zraniteľnosť CVE-2014-2777, ktorú Microsoft opravil až v júni tohto roka. Exploity sú každodenným chlebom firiem zaoberajúcich sa penetračným testovaním a hľadaním chýb v softvéri, tie však objavené zraniteľnosti držia pod pokrývkou. VUPEN chybu odhalil až na hackerskej súťaži Pwn2Own, ktorá sa konala v marci tohto roka. Microsoft ju potom opravil 17. júna.

Chyba sa týkala verzií IE 8 až 11 a umožňovala vzdialenému útočníkovi obísť chránený režim sandboxu. Útočník tak mohol napríklad nainštalovať zadné vrátka do systému bez vedomia používateľa. Stačilo, aby používateľ navštívil nebezpečnú stránku alebo spustil pripravený súbor .exe.

VUPEN sa špecializuje na hľadanie zero-day zraniteľností v softvéri popredných výrobcov (Adobe Reader, Internet Explorer, Mozilla Firefox, Adobe Flash, Google Chrome a pod.) s cieľom predať ich tomu, kto ponúkne najviac. Zvyčajne sú jeho zákazníkmi orgány činné v trestnom konaní, vlády a spravodajské služby, prípadne iniciatíva HP ZDI (Zero Day Initiative).

Microsoft ukrýval aj ďalšiu zero-day zraniteľnosť v Internet Exploreri 8 od októbra 2013, ktorá umožňovala vzdialenému útočníkovi spustiť ľubovoľný kód pomocou chyby v CMarkup objects.

Vynára sa teda otázka, či Microsoft ukryl tieto zraniteľnosti vo svojom prehliadači zámerne alebo mu tak málo záleží na bezpečnosti používateľov, že jeho bezpečnostný tím počas troch rokov neodhalil kritickú chybu.

Zdroj: theregister.co.uk
thehackernews.com


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Produkty

Nový smartfón Microsoftu by sa mal dať rozložiť na veľký tablet

18.01.2017 00:20

Pri kúpe mobilného zariadenia je rozhodujúci aspekt jeho veľkosť. Ak chce používateľ telefonovať a posielať SMS, uprednostní telefón. Ak bude hlavne pracovať s e-mailmi a prehliadať web, hodí sa mu sk ...

Produkty

Cubetto – hračka, ktorá naučí deti základom programovania

18.01.2017 00:30

Alternatívna motessoriovská pedagogika, ktorá sa ukázala ako jeden z najúčinnejších spôsobov výučby detí, sa zameriava na vzdelávanie prostredníctvom hry. Môžu sa však touto metódou deti naučiť  aj pr ...

Produkty 2

iPhone 8 vraj bude mať displej s otvormi, oceľový rám a modem LTE s rýchlosťou sťahovania až do 1 Gb/s

18.01.2017 00:35

Do príchodu iPhonu 8 zostáva ešte niekoľko mesiacov, no už stihol vyvolať obrovskú vlnu záujmu zo strany fanúšikov i analytikov. Apple o detailoch svojho nového vlajkového modelu mlčí, ale objavilo sa ...

Žiadne komentáre

Vyhľadávanie

ITSMF jar

Najnovšie videá