Ako je to s údajnými zadnými vrátkami v softvéri Microsoftu?

Scott Char­ney, je­den z naj­vyš­ších pred­sta­vi­te­ľov bez­peč­nos­tné­ho od­de­le­nia Mic­ro­sof­tu, pred nie­koľ­ký­mi dňa­mi vy­hlá­sil, že vlá­da nik­dy ne­po­žia­da­la spo­loč­nosť o in­šta­lo­va­nie za­dných vrá­tok do jej pro­duk­tov.

Do­ku­men­ty zve­rej­ne­né Edwar­dom Snowde­nom však naz­na­ču­jú, že Mic­ro­soft i ďal­šie veľ­ké fir­my moh­li im­ple­men­to­vať za­dné vrát­ka do svoj­ho sof­tvé­ru a slu­žieb. Kon­krét­ne Mic­ro­soft vraj úz­ko spo­lup­ra­co­val s ame­ric­kou vlá­dou pri zís­ka­va­ní ob­sa­hu ko­mu­ni­ká­cie zá­kaz­ní­kov. V tej­to sú­vis­los­ti sa ne­dáv­no ob­ja­vi­la za­ují­ma­vá in­for­má­cia.

Fran­cúz­sky tím pro­fe­sio­nál­nych hľa­da­čov chýb v sof­tvé­ri VU­PEN in­for­mo­val o tom, že v pre­hlia­da­či Inter­net Explo­rer ob­ja­vil 12. feb­ruára 2011 kri­tic­kú zra­ni­teľ­nosť CVE-2014-2777, kto­rú Mic­ro­soft op­ra­vil až v jú­ni toh­to ro­ka. Exploi­ty sú kaž­do­den­ným chle­bom fi­riem za­obe­ra­jú­cich sa pe­net­rač­ným tes­to­va­ním a hľa­da­ním chýb v sof­tvé­ri, tie však ob­ja­ve­né zra­ni­teľ­nos­ti dr­žia pod pok­rýv­kou. VU­PEN chy­bu od­ha­lil až na hac­ker­skej sú­ťa­ži Pwn2Own, kto­rá sa ko­na­la v mar­ci toh­to ro­ka. Mic­ro­soft ju po­tom op­ra­vil 17. jú­na.

Chy­ba sa tý­ka­la ver­zií IE 8 až 11 a umož­ňo­va­la vzdia­le­né­mu útoč­ní­ko­vi obísť chrá­ne­ný re­žim san­dboxu. Útoč­ník tak mo­hol nap­rík­lad nain­šta­lo­vať za­dné vrát­ka do sys­té­mu bez ve­do­mia pou­ží­va­te­ľa. Sta­či­lo, aby pou­ží­va­teľ nav­ští­vil ne­bez­peč­nú strán­ku ale­bo spus­til prip­ra­ve­ný sú­bor .exe.

VU­PEN sa špe­cia­li­zu­je na hľa­da­nie ze­ro-day zra­ni­teľ­nos­tí v sof­tvé­ri pop­red­ných vý­rob­cov (Ado­be Rea­der, Inter­net Explo­rer, Mo­zil­la Fi­re­fox, Ado­be Flash, Goog­le Chro­me a pod.) s cie­ľom pre­dať ich to­mu, kto po­núk­ne naj­viac. Zvy­čaj­ne sú je­ho zá­kaz­ník­mi or­gá­ny čin­né v tres­tnom ko­na­ní, vlá­dy a spra­vo­daj­ské služ­by, prí­pad­ne ini­cia­tí­va HP ZDI (Ze­ro Day Ini­tia­ti­ve).

Mic­ro­soft uk­rý­val aj ďal­šiu ze­ro-day zra­ni­teľ­nosť v Inter­net Explo­re­ri 8 od ok­tób­ra 2013, kto­rá umož­ňo­va­la vzdia­le­né­mu útoč­ní­ko­vi spus­tiť ľu­bo­voľ­ný kód po­mo­cou chy­by v CMar­kup ob­jects.

Vy­ná­ra sa te­da otáz­ka, či Mic­ro­soft ukr­yl tie­to zra­ni­teľ­nos­ti vo svo­jom pre­hlia­da­či zá­mer­ne ale­bo mu tak má­lo zá­le­ží na bez­peč­nos­ti pou­ží­va­te­ľov, že je­ho bez­peč­nost­ný tím po­čas troch ro­kov neod­ha­lil kri­tic­kú chy­bu.

Zdroj: the­re­gis­ter.co.uk
the­hac­ker­news.com


Ohodnoťte článok:
 
 
 

24 hodín

týždeň

mesiac

Najnovšie články

Chro­me vás bu­de chrá­niť pred fa­loš­ný­mi tla­čid­la­mi na sťa­ho­va­nie
Google oznámil, že služba Safe Browsing v rámci Chromu bude označovať weby, ktoré používajú sociálne inžinierstvo, ako sú napr. falošné tlačidlá na download, podvodné aktualizácie či reklamy šíriace malvér. čítať »
 
Mo­zil­la to vzda­la, OS Fi­re­fox kon­čí. Viac ju za­ují­ma IoT
Decembrové oznámenie o prerušení vývoja ukončilo štvorročné snaženie o vytvorenie operačného systému založeného na prehliadači. Namiesto toho však spoločnosť plánuje sústrediť svoje sily na projekt do budúcnosti zaujímavejší - do internetu vecí. čítať »
 
Naj­nov­šiu ver­ziu OS An­droid Mar­shmallow za­tiaľ ne­pou­ží­va tak­mer nik­to
Pre niekoho to možno bude znieť prekvapivo, no najnovšia verzia OS Android zatiaľ nezažíva obrovský nárast počtu inštalácií. Najmä v porovnaní so štatistikami z minulosti. čítať »
 
Lib­reOf­fi­ce On­li­ne pod­po­ru­je spo­lup­rá­cu na do­ku­men­toch v reál­nom ča­se. Má to však há­čik
Vo webovom kancelárskom balíku LibreOffice Online pribudlo množstvo nových funkcií. Hlavnou novinkou je spolupráca viacerých používateľov na rovnakom dokumente v reálnom čase. čítať »
 
Mic­ro­soft ku­pu­je Swif­tKey. Ob­ľú­be­ná mo­bil­ná klá­ves­ni­ca bu­de dos­tup­ná už aj pre Win­dows
SwiftKey, azda najpopulárnejšia klávesnicová aplikácia pre mobilné telefóny a tablety, viac nebude k dispozícii výlučne len pre systémy Android a iOS. čítať »
 
Pou­ží­va­te­lia Win­dows 7 a 8.1, prip­rav­te sa! Win­dows 10 sa vám stiah­ne auto­ma­tic­ky
Microsoft začína Windows 10 sťahovať automaticky ako odporúčanú aktualizáciu. Podľa spoločnosti táto zmena nastane od pondelka a bude aplikovaná v niekoľkých fázach. čítať »
 
Gri­ma­sy, sel­fie fot­ky, slov­né hrač­ky – aj ta­ké mô­že byť ran­né vstá­va­nie s ap­li­ká­ciou Mi­mic­ker Alarm
Aj vy patríte k tým nešťastníkom, pre ktorých neexistuje nič horšie ako ranné vstávanie? Potom vás istotne zaujme nový vynález z dielne Microsoftu. čítať »
 
Fi­re­fox 44 bu­de pod­po­ro­vať push ozná­me­nia. Web vás sám upo­zor­ní na no­vin­ky
Nová aktualizácia prehliadača Firefox pre Windows, Mac, Linux a Android umožní používateľom dozvedieť sa o novinkách na ich obľúbených webových stránkach aj vtedy, ak ich nebudú mať otvorené. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter