Image
31.7.2014 0 Comments

Ako je to s údajnými zadnými vrátkami v softvéri Microsoftu?

INT_softver Microsoftu.jpg Scott Charney, jeden z najvyšších predstaviteľov bezpečnostného oddelenia Microsoftu, pred niekoľkými dňami vyhlásil, že vláda nikdy nepožiadala spoločnosť o inštalovanie zadných vrátok do jej produktov.

Dokumenty zverejnené Edwardom Snowdenom však naznačujú, že Microsoft i ďalšie veľké firmy mohli implementovať zadné vrátka do svojho softvéru a služieb. Konkrétne Microsoft vraj úzko spolupracoval s americkou vládou pri získavaní obsahu komunikácie zákazníkov. V tejto súvislosti sa nedávno objavila zaujímavá informácia.

Francúzsky tím profesionálnych hľadačov chýb v softvéri VUPEN informoval o tom, že v prehliadači Internet Explorer objavil 12. februára 2011 kritickú zraniteľnosť CVE-2014-2777, ktorú Microsoft opravil až v júni tohto roka. Exploity sú každodenným chlebom firiem zaoberajúcich sa penetračným testovaním a hľadaním chýb v softvéri, tie však objavené zraniteľnosti držia pod pokrývkou. VUPEN chybu odhalil až na hackerskej súťaži Pwn2Own, ktorá sa konala v marci tohto roka. Microsoft ju potom opravil 17. júna.

Chyba sa týkala verzií IE 8 až 11 a umožňovala vzdialenému útočníkovi obísť chránený režim sandboxu. Útočník tak mohol napríklad nainštalovať zadné vrátka do systému bez vedomia používateľa. Stačilo, aby používateľ navštívil nebezpečnú stránku alebo spustil pripravený súbor .exe.

VUPEN sa špecializuje na hľadanie zero-day zraniteľností v softvéri popredných výrobcov (Adobe Reader, Internet Explorer, Mozilla Firefox, Adobe Flash, Google Chrome a pod.) s cieľom predať ich tomu, kto ponúkne najviac. Zvyčajne sú jeho zákazníkmi orgány činné v trestnom konaní, vlády a spravodajské služby, prípadne iniciatíva HP ZDI (Zero Day Initiative).

Microsoft ukrýval aj ďalšiu zero-day zraniteľnosť v Internet Exploreri 8 od októbra 2013, ktorá umožňovala vzdialenému útočníkovi spustiť ľubovoľný kód pomocou chyby v CMarkup objects.

Vynára sa teda otázka, či Microsoft ukryl tieto zraniteľnosti vo svojom prehliadači zámerne alebo mu tak málo záleží na bezpečnosti používateľov, že jeho bezpečnostný tím počas troch rokov neodhalil kritickú chybu.

Zdroj: theregister.co.uk
thehackernews.com


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Produkty

Systém Dentis pomáha zubárom byť efektívnejším

08.08.2019 10:08

Špeciálny projekt Aj slovenský softvér vie preraziť a konkurovať aj tým zabehnutým. Príkladom nie je len Eset, či Sygic, ale aj  špeciálny softvér určený pre zubných lekárov a kliniky – Dentis.  Ten ...

Produkty

Špičkový notebook pre novú generáciu biznismenov

17.07.2019 08:58

Lenovo ThinkBook 13s je novou kategóriou pracovného zariadenia pre mladých biznismenov.  Práve oni si vyžadujú, aby ich zariadenie bolo dostatočne výkonné a štýlové, aby ho mohli používať celý deň bez ...

Produkty

Nový rad Konica Minolta bizhub i-Series

21.06.2019 08:21

Špeciálny projekt Konica Minolta ohlásila nový rad kancelárskych zariadení s označením bizhub i-Series. Ich ambíciou je posunúť multifunkčné zariadenia do novej, digitálnej doby. Pozreli sme sa na to ...

q

Žiadne komentáre

Vyhľadávanie

PC forum button

Najnovšie videá