|
|
WIADOMOŚCI
PWN2OWN: zamieszania z luką ciąg dalszy
Daniel Cieślak
|
(2008.04.11)
|
Błąd w oprogramowaniu Adobe Flash, z którego skorzystał jeden ze zwycięzców konkursu hakerskiego PWN2OWN, został wykryty już kilka miesięcy temu - poinformował właśnie organizator hakerskich zawodów. Co ciekawe, przed Shane'm Macaulay'em (zwycięzcą konkursu) lukę znaleźli - niezależnie od siebie - dwaj specjaliści ds. bezpieczeństwa.
"Eksperci z całego świata bez przerwy szukają błędów w oprogramowaniu - nic więc dziwnego, że często zdarza się, iż kilka osób znajdzie tę samą lukę. W tym przypadku mamy do czynienia z sytuacją, w której trzy różne osoby, działające z różnych pobudek, wykryły problem z zabezpieczeniami w Adobe Flash" - mówi Terri Forslof z firmy TippingPoint (która zorganizowała konkurs PWN2OWN).
Z przedstawionych przez Forslof informacji wynika, że jako pierwszy błąd wykrył już w listopadzie 2007 r. David Maynor, znany specjalista ds. bezpieczeństwa z firmy Errata Security. Z opublikowanego przez niego wtedy raportu wynika, że ekspert zidentyfikował problem z zabezpieczeniami Flash Playera, aczkolwiek nie zdołał wtedy stwierdzić jednoznacznie, czy może on zostać przeprowadzony do ataku na komputer i jak taki atak mógłby wyglądać. Maynor dopiero po pewnym czasie opracował odpowiedniego exploita - został on włączony do zestawu narzędzi do testów penetracyjnych, oferowanego przez Errata Security.
"Sprawdziłam to dokładnie po niedawnym udostępnieniu przez Adobe nowej, poprawionej wersji Flash Playera - okazało się, że błąd wykorzystany przez Shane'a do wygrania w PWN2OWN to ta sama luka, którą David Maynor zgłosił kilka miesięcy temu Adobe" - stwierdziła Forslof.
Drugą osobą - w porządku chronologicznym - która odkryła ów błąd, był niejaki Javier Vicente Vallejo, który zgłosił problem w ramach prowadzone przez TippingPoint program Zero Day Initiative (dzięki niemu specjaliści mogą sprzedawać firmie informacje o nowych lukach). Raport w tej sprawie wpłynął do ZDI 7 lutego 2008 r.
Ostatni był wspomniany już Shane Macaulay, który pod koniec marca wykorzystał tę samą lukę w Adobe Flash do wygrania konkursu PWN2OWN. Przedstawiciele TippingPoint zdecydowali się na wypłacenie mu nagrody (w wysokości 5 tys. USD), ponieważ, jak tłumaczą, Macaulay wygrał konkurs zgodnie z przepisami - tzn. wykorzystał do tego nieznaną powszechnie lukę w oprogramowaniu. Terri Forslof podkreśla, że ani David Maynor, ani Javier Vicente Vallejo nie ogłosili publicznie informacji o błędzie (pierwszy przekazał ją tylko Adobe, drugi - Zero Day Initative). A to oznacza, że Shane Macaulay odkrył problem na własną rękę.
"Cały czas zdarza nam się, że ktoś zgłasza nam lukę, która nie została jeszcze oficjalnie ogłoszona, ale o której wiemy już od innego specjalisty - to naturalne, że różne osoby mogą znaleźć ten sam błąd. Zwykle płacimy wtedy obu osobom - bo obie znalazły błąd, a poza tym zależy nam na tym, by przejąć informację o problemie i nie dopuścić do jej niekontrolowanego opublikowania" - tłumaczy przedstawicielka TippingPoint.
Więcej informacji o konkursie PWN2OWN oraz kontrowersjach związanych z wyłonieniem zwycięzcy w jego trzecim etapie znaleźć można w tekstach: "Adobe: wiedzieliśmy o tej dziurze", "PWN 2 OWN: Mac pierwszą ofiarą", czy "Linux: bezpieczny czy ignorowany?".
|
| |  |
Zobacz też:
Aktualności Artykuły
|
|
|
|
| Google Gears z funkcjami lokalizacyjnymi | (2008.08.25) | | W miniony piątek (22 sierpnia) Google udostępnił nową wersję oprogramowania Gears. Wprowadza ona m.in. funkcje związane z lokalizacją użytkowników aplikacji internetowych działających w trybie offline. |
| 450 tys. pobrań MS SQL Server | (2008.08.21) | | Chris Sharp z Microsoftu poinformował w czasie konferencji TechEd w Kuala Lumpur, że udostępnione niedawno najnowsze wydanie SQL Servera - 2008 - zostało już pobrane przez ponad 450 tys. użytkowników. |
| Java Lightweight UI Toolkit jako open source | (2008.08.18) | | W czwartek (14 sierpnia) koncern Sun udostępnił kod źródłowy pakietu narzędziowego UI Toolkit na licencji GPLv2 z zastrzeżeniem Classpath Exception. W uproszczeniu zastrzeżenie to oznacza, że udostępnione oprogramowanie do tworzenia interfejsów graficznych może być wykorzystywane w produktach udostępnianych na zasadach innych niż GPL. |
| Kryptografia od Google | (2008.08.13) | Google poinformował o dostępności kryptograficznego pakietu narzędziowego open source. Przeznaczonego głównie dla aplikacji webowych. Jest to pierwszy zestaw narzędziowy tego typu stworzony przez firmę działającą w sektorze usług internetowych, poinformował serwis zdnet.com
|
| Jest Service Pack 1 dla Visual Studio 2008 i .Net 3.5 | (2008.08.12) | | W poniedziałek (11 sierpnia) Microsoft udostępnił pierwsze pakiety Service Pack dla środowiska programistycznego Visual Studio 2008 oraz platformy .Net 3.5. Oba zestawy zawierają poprawki znaczących błędów oraz dodatkowe usprawnienia. |
| Polak znajduje groźne błędy w Javie w Nokiach | (2008.08.12) | | Adam Gowdiak - polski specjalista ds. bezpieczeństwa - znalazł dwie groźne luki w Javie zaimplementowanej do telefonów Nokia z serii 40 (Nokia Series 40). Błędy te mogą zostać wykorzystane przez przestępców do nawiązywania połączeń bez wiedzy użytkownika, nagrywania konwersacji czy przechwytywania danych zapisanych w pamięci telefonu. |
|
|
|
Zasoby premium - nie masz uprawnień dostępu: zapłać SMSem, 
Zasoby premium - dostęp przyznany
