V rámci soutěže CanSecWest útočník ovládl notebook s Internet Explorerem 8 na Windows 7 (viz také: MacOS X se Safari padl za pár vteřin, nepřežil ani Internet Explorer 8), v tomto případě byla ale prolomena verze release candidate 1. Finální MSIE 8 byl totiž v době konání soutěže teprve uvolňován. Společnost Tipping Point, která akci sponzorovala, oznámila, že Microsoft mezi RC1 a finální verzí ještě provedl změny, které zneužití touto technikou brání.
Provedený útok měl údajně mnoho společného s metodou, kterou loni předvedli Alex Sotirov a Mark Dowd, když ukázali bezpečnostní díry ve Windows Vista – jednalo se o obejití ochran ASLR (address space layout randomization) a DEP (data execution prevention). Microsoft do finální verze zřejmě doplnil prostředky proti obejití ASLR a DEP podobně, jako už dříve u Windows Vista. Windows XP, které tyto obranné prvky vůbec nemají, ovšem v kombinaci s MSIE 8 zranitelné zůstaly.
MSIE 8 na novějších Windows může být ale předvedenou metodou stále zranitelný při prohlížení intranetu – to ovšem vyžaduje, aby útočník už pronikl do vnitřní sítě. Terri Forslof ze společnosti TippingPoint také pro americký Computerworld uvedla, že zranitelnost MSIE 7 tímto útokem nebyla testována, nicméně obdobný problém je pravděpodobně i ve starší verzi prohlížeče.
Na akci CanSecWest ovšem nakonec padl i prohlížeč Firefox. Mozilla oznámila, že chybu rychle opraví a vydá dokonce speciálně kvůli chybě verzi Firefoxu 3.0.8. V ní bude opravena také kritická zranitelnost objevená nezávisle. (Viz také: Ve Firefoxu je kritická neopravená chyba) Podle Mozilly se vydání Firefoxu verze 3.0.8 plánuje na 1. duben.
Jak bude postupovat oprava Internet Exploreru 8 není v tuto chvíli jasné. U Safari se zranitelnosti vyskytují chronicky a Apple je mnohdy opravuje až po značně dlouhé době.
PŘEDPLATNÉ
ČLÁNKY DO MAILU