17

Takiej luki w Internet Explorerze Microsoft powinien się wstydzić (Pwn2Own 2012)

Najpierw rozłożony na łopatki został Chrome firmy Google. Na to wydarzenie wielu czekało, przeglądarka bowiem w ostatnich latach podczas zawodów Pwn2Own 2012 wydawała się być niezwyciężona. Do czasu. Podczas kolejnego dnia przyszła pora na Internet Explorera. To że hakerzy znajdą lukę w programie Microsoftu wydawało się oczywiste. Ale jaką lukę znaleźli! Osoby, które uważają przeglądarkę firmy […]

Najpierw rozłożony na łopatki został Chrome firmy Google. Na to wydarzenie wielu czekało, przeglądarka bowiem w ostatnich latach podczas zawodów Pwn2Own 2012 wydawała się być niezwyciężona. Do czasu. Podczas kolejnego dnia przyszła pora na Internet Explorera. To że hakerzy znajdą lukę w programie Microsoftu wydawało się oczywiste. Ale jaką lukę znaleźli!

Osoby, które uważają przeglądarkę firmy z Redmond za najgorzej zabezpieczone narzędzie do przeglądania internetu będą miały kolejny argument. Podczas tegorocznych zawodów Pwn2Own w Vancouver francuscy hakerzy pokonali IE za pomocą – uwaga – 10 letniej dziury.

Zadanie polegało na włamaniu się do systemu Windows 7 przy wykorzystaniu luku w 9 wydaniu przeglądarki. Hakerzy z grupy VUPEN wykonali zadanie bezbłędnie. Tę samą lukę wykorzystali w IE 10 w Windows 8 Consumer Preview. Co gorsza, okazało się, że dziura obecna jest również w starszych wydaniach przeglądarki – również w IE 6, który ma ponad 10 lat.

Lukę wykorzystano, aby obejść zabezpieczenia typu DEP i ASRL i doprowadzić do wycieku pamięci. W ten sposób hakerom udało się sprawnie obejść tryb chroniony, który ma zabezpieczać IE 9 przed atakami. Jak powiedzieli hakerzy z VUPEN (za ZDNet), odkryciem luki zajmowało się dwoje ludzi pracujących przez około 6 tygodni.

Wygląda więc na to, że inżynierowie z Redmond przez ponad 10 lat nieświadomi byli poważnej dziury obecnej w swojej przeglądarce. Mimo wszystkich najnowszych zabezpieczeń, IE okazał się dość łatwy do pokonania. Co więcej, jak powiedział Chaouki Bekrar, współzałożyciel VUPEN, jego zespół przy okazji znalazł sporo innych luk w trybie chronionym IE.

Większość z nich nie została dotąd wyeliminowana przez Microsoft. Z drugiej strony hakerzy przyznali, że IE 10 jest znacznie lepiej zabezpieczony niż jego poprzednicy. To dobra wiadomość, jednak nie zmienia ona faktu, że Microsoft powinien poważnie zająć się kwestią bezpieczeństwa w starszych wydaniach swojej przeglądarki.

Na szczęście przedstawiciele firmy z Redmond byli obecni podczas Pwn2Own 2012 i już zapowiedzieli, że niebawem zostaną wydane odpowiednie aktualizacje IE.

Źródło grafik: Chris Wilson, Microsoft