Jump to content
Forum Kopalni Wiedzy

Search the Community

Showing results for tags 'Michał Zalewski'.



More search options

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Nasza społeczność
    • Sprawy administracyjne i inne
    • Luźne gatki
  • Komentarze do wiadomości
    • Medycyna
    • Technologia
    • Psychologia
    • Zdrowie i uroda
    • Bezpieczeństwo IT
    • Nauki przyrodnicze
    • Astronomia i fizyka
    • Humanistyka
    • Ciekawostki
  • Artykuły
    • Artykuły
  • Inne
    • Wywiady
    • Książki

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


Adres URL


Skype


ICQ


Jabber


MSN


AIM


Yahoo


Lokalizacja


Zainteresowania

Found 1 result

  1. Pracujący dla Google'a Michał Zalewski poinformował, że chińscy hakerzy najprawdopodobniej wpadli na trop krytycznego niezałatanego błędu w Internet Explorerze. Błąd ten to jedna z około 100 dziur, które Zalewski znalazł w IE, Firefoksie, Chrome, Safari i Operze. Zalewski odkrył je za pomocą własnego narzędzia cross_fuzz. Później, jak mówi, przypadkowo ujawnił lokalizację tego narzędzia, więc mógł je pobrać każdy chętny. W związku z tym postanowił je udostępnić. "Trzydziestego grudnia odebrałem zapytania z adresu IP zarejestrowanego w Chinach, które odpowiadały słowom kluczowym wymienionym w jednym z plików cross_fuzz" - informuje Zalewski. Zapytanie dotyczyło pewnych funkcji w pliku mshtml.dll. W tym czasie nie było w sieci żadnych innych zapytań tego typu. "To bardzo silne wskazanie, że doszło do niezależnego odkrycia tego samego błędu w IE; inne wyjaśnienia następujących po sobie takich zapytań są bardzo mało prawdopodobne" - mówi badacz. Wbrew prośbom Microsoftu, który nie poprawił jeszcze wspomnianego błędu, Zalewski udostępnił cross_fuzz w niedzielę. Z jednej strony stało się tak dlatego, bo Chińczycy i tak wiedzą już o dziurze, a z drugiej - ponieważ specjaliści z Microsoftu nie ustosunkowali się do informacji, które im przekazał. Pierwsze informacje o błędzie wraz z wcześniejszą wersją cross_fuzz Microsoft otrzymał już w lipcu. Z kolei 20 grudnia Zalewski poinformował firmę z Redmond, że zamierza udostępnić cross_fuzz. Dzień później skontaktowali się z nim przedstawiciele Microsoftu i poinformowali go, że brak odpowiedzi z ich strony wynikał z faktu, iż nie udało im się odtworzyć błędu, o którym informował ich pracownik Google'a. Kilka dni później Zalewski otrzymał następującą wiadomość: "Zespół zajmujący się IE przeprowadził szeroko zakrojone testy, ale nie byliśmy w stanie doprowadzić do tych samych błędów, które Ty i Dave (z Microsoftu) jesteście w stanie odnaleźć. Nie wiem, dlaczego teraz udało się nam na nie trafić, ale zapewniamy, że nie było to celowe działanie". Jerry Bryant, rzecznik prasowy Microsoft Security Response Center, oświadczył, że w lipcu ani eksperci Microsoftu, ani Google'a nie byli w stanie odtworzyć warunków, w jakich dochodziło do błędu. "Dopiero 21 grudnia nowa wersja narzędzia cross_fuzz dostarczyła nam informacji na temat błędu". To nie pierwsze starcie, pomiędzy badaczami Google'a a Microsoftem. W połowie ubiegłego roku doszło do utarczki pomiędzy Tavisem Ormandy'm a koncernem z Redmond.
×
×
  • Create New...