» »

VUPEN že odkril ranljivosti v Windows 8

VUPEN že odkril ranljivosti v Windows 8

VUPEN-ova ekipa v Vancouvru letos. Bekrer stoji v sredini.

TheNextWeb - O nekoliko skrivnostnem francoskem podjetju VUPEN običajno beremo, ko objavljamo rezultate hekerskih tekmovanj. Tam navadno zasedajo prva mesta in uspešno razbijajo zaščito v vseh najnovejših operacijskih sistemih in brskalnikih (zelo uspešni so, recimo, na Pwn2Own). A VUPEN je še marsikaj drugega. In včeraj so objavili, da so v Windows 8 in Internet Explorerju 10 našli nekaj neodkritih ranljivosti. Nas mora skrbeti?

Letos marca smo obširneje pisali o poslu, s katerim se ukvarjajo. VUPEN ima zaposlene vrhunske strokovnjake, ki iščejo ranljivosti v popularni programski opremi. Vsak trenutek imajo na zalogi kopico proizvajalcem neznanih ranljivosti (0-day), ki jih prodajajo zainteresiranim strankam. VUPEN odkritih ranljivosti ne obeša na veliki zvon in o njih ne obvešča proizvajalcev. Drago jih prodaja obveščevalnim organizacijam, različnim vladam, vojski in ostalim, ki si lahko privoščijo plačati šestmestne zneske (v dolarjih) za naročnino na obvestila o odkritih ranljivostih. Nakup posamezne ranljivost je še precej dražji. S tem dobijo po eni strani zaščito pred temi luknjami (ki je konkurenca nima), po drugi strani pa možnost vohunjenja.

Le nekaj dni po uradnem izidu Windows 8 (v resnici je RTM-verzija na trgu že nekaj mesecev) je VUPEN objavil, da so tudi v Windows 8 in Internet Explorerju 10 našli 0-day ranljivosti, ki omogočajo kompromitirati sisteme, ki jih poganjata. To pravzaprav ni presenetljivo, saj Microsoft za te ranljivosti ne ve. Če bi zanje vedel, jih po eni strani VUPEN ne bi mogel več drago prodajati, po drugi strani pa bi Microsoft izdal popravke zanje. Zato je razumljivo, da Windows 8 vsebuje tudi nekaj istih ranljivosti kakor Windows 7, če te Microsoftu niso poznane.

Kaj to pomeni za končne uporabnike? Nič posebno novega. Windows 8 je varnejši od predhodnikov, a kakor vsaka programska oprema tudi ta ni neprebojna. Kdor je pred tem zaupal varnosti Windows 7, bo verjel tudi v Windows 8. Isti ljudje, ki so doslej imeli informacije, znanje in denar za napade na Windows 7, bodo nekaj teh napadov pač odslej lahko izvajali tudi na Windows 8. Razlogov za skrb torej ni.

13 komentarjev

P4ajo ::

Isti ljudje, ki so doslej imeli informacije, znanje in denar za napade na Windows 7, bodo nekaj teh napadov pač odslej lahko izvajali tudi na Windows 8. Razlogov za skrb torej ni.
Ko sem to prebral sem dobil svojo dozo sreče za današnji dan (kaj bo šele, ko se uležem v postlo), Krasni novi svet all the way! Hvala.

...but I wonder... so več vredne luknje v windows ali unix/bsd sistemih?
Sem (premalo) pameten, resno.

|SNap| ::

Nimam obcutka, ali je z dostopom do vseh teh VUPEN in podobnih informacij mogoce vdret v recimo en Linux server, ki poganja samo SSH?

Vem, da je OpenSSH ze imel remote exploite, ampak ali se ocenjuje, da je na "crnem trgu" vedno kak na voljo, ali je to bolj izjema?

Iona ::

Torej SNap, ti misliš, da imajo vse računalnike povezane s svetom ?
Po mojem mnenju imajo vsaj 2 ločeni mreži. Ena, ki je povezana v svet ter druga, ki ni.
Vrsta dostopa do strežnika in neki remote exploiti nimajo nobene vrednosti, če le ta ni priklopljen s svetom.

Edini dostop je fizični in james bond varianta :D

Glugy ::

Jz pa tega ne razumem...kako da ne morjo naredit že enkrat operacijskega sistema pa programa brez ranljivosti? kaj za boga tazga napišejo v kodi da omogoči ranljivosto? Sej gre vendar za vrhunske strokovnjake k bi mogl vse predvidt.

Invictus ::

Glugy je izjavil:

Jz pa tega ne razumem...kako da ne morjo naredit že enkrat operacijskega sistema pa programa brez ranljivosti? kaj za boga tazga napišejo v kodi da omogoči ranljivosto? Sej gre vendar za vrhunske strokovnjake k bi mogl vse predvidt.

Zato ker to ni v interesu tistih, ki imajo kontrolo nad tem.

Kaj tukaj ni jasno?
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Looooooka ::

Am.Ne?
Ker programe pisejo ljudje.
In ljudje delamo napake.
In tudi programe, ki iscejo znane napake v kodi je na koncu dneva napisal clovek.
Vecje programe pise vec ljudi. Napaka enega cloveka mogoce ni grozna. Ce pa recimo se drug clovek ta del kode uporabi drugace kot je bilo misljeno ali pa narobe...mas pa ze spet problem.
Aja drugace so pa ze napisal program brez napake. Sej je bla novice na slo-techu.
V bistvu je bil en kernel, ki je za nas sicer neuporaben...sam so ga tok cajta pisal, da je "brez napake", da ce bi isto kolicino cajta namenili za vso kodo v katerem koli operacijskem sistemu in programi, ki jih dobimo z njim...bi bli verjetno se zmeraj v dosu.Bil bi bullet proof ampak se zmeraj bi bil dos.
That means no games, no porn, no internet. Did I mention the no games part? :D

Roadkill ::

Iona: stuxnet virus je delal štalo po računalnikih, ki niso priklopljeni v internet.

Glugy: LOL, ne.
Ü

enadvatri ::

Roadkill je izjavil:

Iona: stuxnet virus je delal štalo po računalnikih, ki niso priklopljeni v internet.

Glugy: LOL, ne.


Stuxnet je v tem oziru poseben. Očitno so snovalci dobro zastavili vektor napada in se zanašali na srečo ali pa poznali navade zaposlenih, kjer se je nato napad zgodil. Mimogrede, virus so prinesli zaposleni z USB ključkom, še prej ga staknili na Internetsih, v hermetično omrežje, kjer je povzročil škodo.

Phantomeye ::

Looooooka je izjavil:

Am.Ne?
Ker programe pisejo ljudje.
In ljudje delamo napake.
In tudi programe, ki iscejo znane napake v kodi je na koncu dneva napisal clovek.
Vecje programe pise vec ljudi. Napaka enega cloveka mogoce ni grozna. Ce pa recimo se drug clovek ta del kode uporabi drugace kot je bilo misljeno ali pa narobe...mas pa ze spet problem.
Aja drugace so pa ze napisal program brez napake. Sej je bla novice na slo-techu.
V bistvu je bil en kernel, ki je za nas sicer neuporaben...sam so ga tok cajta pisal, da je "brez napake", da ce bi isto kolicino cajta namenili za vso kodo v katerem koli operacijskem sistemu in programi, ki jih dobimo z njim...bi bli verjetno se zmeraj v dosu.Bil bi bullet proof ampak se zmeraj bi bil dos.
That means no games, no porn, no internet. Did I mention the no games part? :D


bo treba pocakat na program, ki bo pisal programe, :P

enadvatri ::

Phantomeye je izjavil:

Looooooka je izjavil:

Am.Ne?
Ker programe pisejo ljudje.
In ljudje delamo napake.
In tudi programe, ki iscejo znane napake v kodi je na koncu dneva napisal clovek.
Vecje programe pise vec ljudi. Napaka enega cloveka mogoce ni grozna. Ce pa recimo se drug clovek ta del kode uporabi drugace kot je bilo misljeno ali pa narobe...mas pa ze spet problem.
Aja drugace so pa ze napisal program brez napake. Sej je bla novice na slo-techu.
V bistvu je bil en kernel, ki je za nas sicer neuporaben...sam so ga tok cajta pisal, da je "brez napake", da ce bi isto kolicino cajta namenili za vso kodo v katerem koli operacijskem sistemu in programi, ki jih dobimo z njim...bi bli verjetno se zmeraj v dosu.Bil bi bullet proof ampak se zmeraj bi bil dos.
That means no games, no porn, no internet. Did I mention the no games part? :D


bo treba pocakat na program, ki bo pisal programe, :P


... ki ga bo napisal človek. :))

spenstar ::

Glugy je izjavil:

Jz pa tega ne razumem...kako da ne morjo naredit že enkrat operacijskega sistema pa programa brez ranljivosti? kaj za boga tazga napišejo v kodi da omogoči ranljivosto? Sej gre vendar za vrhunske strokovnjake k bi mogl vse predvidt.

Ko boš zacel resno programirat, boš moral v dolocenem roku napisat dokumentacijo, dizajn featurja, samo kodo, kompajlat, stestirat, dati v build, potem ti testerji najdejo bug, bos spet fiksal in testiral, potem se fasal dodatno delo in tako do releasa.
Priznaj, nisi še delal v softwarski firmi. ;)
SPENSTAR--builder

techfreak :) ::

Pri Linuxu in ostali odprti kodi lahko izključimo pisanje dokumentacije, dizajn, testiranje in iskanje bugov>:D, pa še vseeno ni brez varnostnih lukenj.

ender ::

techfreak: ne mislit da pri komercialni kodi ne more biti enako :)
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Cene za ranljivosti v programski opremi rastejo

Oddelek: Novice / Varnost
65794 (4963) FTad
»

VUPEN želi iz Francije

Oddelek: Novice / Varnost
3118446 (9392) matijadmin
»

Prvi dan Pwn2Own 2013 zlomljeni Chrome, Firefox, IE10 in Java

Oddelek: Novice / Varnost
137885 (5792) MrStein
»

Kdo so VUPEN in kako s preprodajo ranljivosti služijo milijone

Oddelek: Novice / Varnost
4019939 (16978) Iatromantis
»

Internet Explorer 9 padel v Pwn2Own

Oddelek: Novice / Varnost
4913613 (10643) Mesar

Več podobnih tem