Microsoft po Pwn2Own: Windows 7 jsou prý bezpečná

Microsoft po skončení hackerské soutěže Pwn2Own, při které došlo k pokoření IE a Firefoxu pomocí technologií DEP a ASLR ve Windows 7 s odstupem několika dní oznámil, že není důvod k panice.


Minulý týden jsme vás informovali o výsledcích soutěže, při které padly všechny hlavních prohlížeče a mj. tento rok poprvé také iPhone. Microsoft se nyní nechal slyšet, že pro vyvolání pádu prohlížečů byly sice zneužity obě technologie jenž mají podobným útokům zabránit, ovšem v žádném případě to neznamená, že jsou bezvýznamné a uživatelé by se měli obávat.

Pete LePage, produktový manažer Internet Exploreru, se zastal technologií DAP (Data Execution Prevention) a ASLR (Address space layout randomization. „Tyto technologie nejsou navrženy pro 100% obranu před útokem, ale pro co nejvýše možné znesnadnění zneužití zranitelnosti prohlížeče.“ Na Windows Security blogu přirovnal LePage metodu zneužití těchto technologií k protipožárnímu sejfu. „Bez ochrany vydrží sejf hodinu až dvě. S ochranou vydrží déle, ale samozřejmě nevydrží navždy.“

Jen pro oživení paměti připomene k čemu obě technologie slouží. DEP byla představena v roce 2004 při uvedení SP2 pro Windows XP a slouží pro zabránění spuštění škodlivého kódu. ASLR přišla na svět s operačním systémem Windows Vista v roce 2007 a zajišťuje náhodné generování klíčů v paměti pro znesnadnění útoků. Navíc, pokud běží Internet Explorer v uživatelském účtu s omezeným oprávnění, je spuštěn v tzv. chráněném režimu, který má také znemožnit útočníkovi skrz prohlížeč ovládnout kontrolu nad počítačem.

Peter Vreugdenhil pokořitel Internet Explorer a Firefox na Windows a Charlie Miller, který shodil Safari na Snow Leopardu shodně dodávají, že nyní při použití technologií DEP a ASLR na obou systémech je těžké najít bezpečností skulinu.











Komentáře