VUPEN že odkril ranljivosti v Windows 8

O nekoliko skrivnostnem francoskem podjetju VUPEN običajno beremo, ko objavljamo rezultate hekerskih tekmovanj. Tam navadno zasedajo prva mesta in uspešno razbijajo zaščito v vseh najnovejših operacijskih sistemih in brskalnikih (zelo uspešni so, recimo, na Pwn2Own). A VUPEN je še marsikaj drugega. In včeraj so objavili, da so v Windows 8 in Internet Explorerju 10 našli nekaj neodkritih ranljivosti. Nas mora skrbeti?

Letos marca smo obširneje pisali o poslu, s katerim se ukvarjajo. VUPEN ima zaposlene vrhunske strokovnjake, ki iščejo ranljivosti v popularni programski opremi. Vsak trenutek imajo na zalogi kopico proizvajalcem neznanih ranljivosti (0-day), ki jih prodajajo zainteresiranim strankam. VUPEN odkritih ranljivosti ne obeša na veliki zvon in o njih ne obvešča proizvajalcev. Drago jih prodaja obveščevalnim organizacijam, različnim vladam, vojski in ostalim, ki si lahko privoščijo plačati šestmestne zneske (v dolarjih) za naročnino na obvestila o odkritih ranljivostih. Nakup posamezne ranljivost je še precej dražji. S tem dobijo po eni strani zaščito pred temi luknjami (ki je konkurenca nima), po drugi strani pa možnost vohunjenja.

Le nekaj dni po uradnem izidu Windows 8 (v resnici je RTM-verzija na trgu že nekaj mesecev) je VUPEN objavil, da so tudi v Windows 8 in Internet Explorerju 10 našli 0-day ranljivosti, ki omogočajo kompromitirati sisteme, ki jih poganjata. To pravzaprav ni presenetljivo, saj Microsoft za te ranljivosti ne ve. Če bi zanje vedel, jih po eni strani VUPEN ne bi mogel več drago prodajati, po drugi strani pa bi Microsoft izdal popravke zanje. Zato je razumljivo, da Windows 8 vsebuje tudi nekaj istih ranljivosti kakor Windows 7, če te Microsoftu niso poznane.

Kaj to pomeni za končne uporabnike? Nič posebno novega. Windows 8 je varnejši od predhodnikov, a kakor vsaka programska oprema tudi ta ni neprebojna. Kdor je pred tem zaupal varnosti Windows 7, bo verjel tudi v Windows 8. Isti ljudje, ki so doslej imeli informacije, znanje in denar za napade na Windows 7, bodo nekaj teh napadov pač odslej lahko izvajali tudi na Windows 8. Razlogov za skrb torej ni.