Ako je to s údajnými zadnými vrátkami v softvéri Microsoftu?

0

INT_softver Microsoftu.jpg Scott Charney, jeden z najvyšších predstaviteľov bezpečnostného oddelenia Microsoftu, pred niekoľkými dňami vyhlásil, že vláda nikdy nepožiadala spoločnosť o inštalovanie zadných vrátok do jej produktov.

Dokumenty zverejnené Edwardom Snowdenom však naznačujú, že Microsoft i ďalšie veľké firmy mohli implementovať zadné vrátka do svojho softvéru a služieb. Konkrétne Microsoft vraj úzko spolupracoval s americkou vládou pri získavaní obsahu komunikácie zákazníkov. V tejto súvislosti sa nedávno objavila zaujímavá informácia.

Francúzsky tím profesionálnych hľadačov chýb v softvéri VUPEN informoval o tom, že v prehliadači Internet Explorer objavil 12. februára 2011 kritickú zraniteľnosť CVE-2014-2777, ktorú Microsoft opravil až v júni tohto roka. Exploity sú každodenným chlebom firiem zaoberajúcich sa penetračným testovaním a hľadaním chýb v softvéri, tie však objavené zraniteľnosti držia pod pokrývkou. VUPEN chybu odhalil až na hackerskej súťaži Pwn2Own, ktorá sa konala v marci tohto roka. Microsoft ju potom opravil 17. júna.

Chyba sa týkala verzií IE 8 až 11 a umožňovala vzdialenému útočníkovi obísť chránený režim sandboxu. Útočník tak mohol napríklad nainštalovať zadné vrátka do systému bez vedomia používateľa. Stačilo, aby používateľ navštívil nebezpečnú stránku alebo spustil pripravený súbor .exe.

VUPEN sa špecializuje na hľadanie zero-day zraniteľností v softvéri popredných výrobcov (Adobe Reader, Internet Explorer, Mozilla Firefox, Adobe Flash, Google Chrome a pod.) s cieľom predať ich tomu, kto ponúkne najviac. Zvyčajne sú jeho zákazníkmi orgány činné v trestnom konaní, vlády a spravodajské služby, prípadne iniciatíva HP ZDI (Zero Day Initiative).

Microsoft ukrýval aj ďalšiu zero-day zraniteľnosť v Internet Exploreri 8 od októbra 2013, ktorá umožňovala vzdialenému útočníkovi spustiť ľubovoľný kód pomocou chyby v CMarkup objects.

Vynára sa teda otázka, či Microsoft ukryl tieto zraniteľnosti vo svojom prehliadači zámerne alebo mu tak málo záleží na bezpečnosti používateľov, že jeho bezpečnostný tím počas troch rokov neodhalil kritickú chybu.

Zdroj: theregister.co.uk
thehackernews.com

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať