Microsoft po Pwn2Own: Windows 7 je vraj bezpečný

Microsoft po skončení hackerskej súťaže Pwn2Own, pri ktorej došlo k pokoreniu IE a Firefoxu pomocou technológií DEP a ASLR vo Windows 7 s odstupom niekoľkých dní oznámil, že nie je dôvod na paniku.

Minulý týždeň sme vás informovali o výsledkoch súťaže, pri ktorej padli všetky hlavné prehliadače a tento rok prvýkrát aj iPhone. Microsoft sa nechal počuť, že pre pád prehliadačov boli zneužité obe technológie ktoré majú podobným útokom zabrániť, avšak v žiadnom prípade to neznamená, že sú bezvýznamné a používatelia by sa mali obávať.

Pete Lepage, produktový manažér Internet Exploreru, sa zastal technológií DAP (Data Execution Prevention) a ASLR (Address space layout randomization.) "Tieto technológie nie sú navrhnuté pre 100 % obranu pred útokom, ale pre čo najväčšie sťaženie zneužitia zraniteľnosti prehliadača." Na Windows Security blogu prirovnal Lepage metódu zneužitia týchto technológií k protipožiarnemu sejfu. "Bez ochrany vydrží trezor hodinu až dve. S ochranou vydrží dlhšie, ale samozrejme nevydrží navždy."

Len pre oživenie pamäti pripomeňme k čomu obe technológie slúžia. DEP bola predstavená v roku 2004 pri uvedení SP2 pre Windows XP a slúži na zabránenie spustenie škodlivého kódu. ASLR prišla na svet s operačným systémom Windows Vista v roku 2007 a zabezpečuje náhodné generovanie kľúčov v pamäti pre sťaženie útokov. Navyše, ak beží Internet Explorer v používateľskom účte s obmedzenými oprávneniami, je spustený v tzv. chránenom režime, ktorý má tiež znemožniť útočníkovi cez prehliadač získať kontrolu nad počítačom.

Peter Vreugdenhil, ktorý pokoril Internet Explorer a Firefox na Windowse a Charlie Miller, zase Safari na Snow Leoparde zhodne dodávajú, že teraz pri použití technológie DEP a ASLR na oboch systémoch je ťažké nájsť medzeru v bezpečnostnej ochrane.

Zdroj: computerworld.cz

Prečítajte si tiež:

IE8, Firefox, Safari a iPhone hacknuté v okamihu (pred 2 rokmi)