Jaká je cena bezpečnostní chyby ve Windows 8?

Nejde tak docela o typ reklamy, které by rozuměl běžný uživatel. Vupen na svůj účet na Twitteru ve středu napsal doslova tuto zprávu: „Na prodej: naše první zero-day díra ve Win8 s průnikem do HiASLR/AntiROP/DEP & Prot Módu (Flash není potřeba).“ Vupen je bezpečnostní společnost, která se specializuje na hledání chyb v softwaru od velkých firem jako Microsoft, Adobe, Apple nebo Oracle. Vupen tak operuje v jakési šedé zóně bezpečnostního byznysu a prodává chyby v počítačových programech a systémech vlád a velkých korporací tomu, kdo nabídne nejvíce.

Nyní Vupen objevil chybu v nové verzi Windows a prohlížeči Internet Explorer 10, kterou ještě nikdo jiný neobjevil, a tedy na ni není dostupný ani patch. Jde o vůbec první oznámení o tom, že byla nalezena chyba ve Windows 8, operačním systému, jenž byl vydán teprve před týdnem. Dave Forstrom z divize Trustworthy Computing v Microsoftu k celé věci uvedl, že jeho společnost neúspěšně již nějakou dobu žádá vývojáře Vupenu, aby se zapojili do programu s názvem Coordinated Vulnerability Disclosure, v rámci kterého mají bezpečnostní odborníci dát Microsoftu nějaký čas před tím, než objevenou díru zveřejní.

„Zaznamenali jsme ten tweet, bližší informace však k tomu nemáme,“ řekl Forstrom v oficiálním prohlášení. Ze zprávy Vupenu na Twitteru vyplývá, že chyba ve Windows 8 a IE10 umožňuje překonat bezpečnostní technologie v systému včetně Address Space Layout Randomization (ASLR), anti-Return Oriented Programming a DEP (data execution prevention). K využití chyby navíc není potřeba aplikace Flash od Adobe. „Pokud tato chyba bude potvrzena, bude to pro Microsoft jistě nepříjemné – údajně nejbezpečnější platforma, jakou kdy vydal, byla prolomena během prvních pár dnů po vydání systému,“ řekl Andrew Storms ze společnosti nCircle.

Cena díry podle odhadů analytiků zatím nebude příliš vysoká kvůli tomu, že Windows 8 ještě nepoužívá velké množství uživatelů, „na druhou stranu však nikdo nevyvrátil, že se díra nemůže týkat i starších verzí Windows a IE, pak by její hodnota několikanásobně vzrostla,“ dodal Storms. Podle Jodyho Melbourna z australské bezpečnostní společnosti Hacklabs může být díra užitečná pro vývojáře, kteří chtějí Microsoftu ukrást podepisovací certifikáty nebo určitý zdrojový kód. A kolik tedy taková díra stojí? To je těžké říci. Vupen oficiální cenu nezveřejňuje. Podle Melbourna její cena však poroste v čase do té doby, než ji objeví někdo jiný.