Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

Chińczycy na tropie dziury w IE

Recommended Posts

Pracujący dla Google'a Michał Zalewski poinformował, że chińscy hakerzy najprawdopodobniej wpadli na trop krytycznego niezałatanego błędu w Internet Explorerze. Błąd ten to jedna z około 100 dziur, które Zalewski znalazł w IE, Firefoksie, Chrome, Safari i Operze. Zalewski odkrył je za pomocą własnego narzędzia cross_fuzz. Później, jak mówi, przypadkowo ujawnił lokalizację tego narzędzia, więc mógł je pobrać każdy chętny. W związku z tym postanowił je udostępnić.

"Trzydziestego grudnia odebrałem zapytania z adresu IP zarejestrowanego w Chinach, które odpowiadały słowom kluczowym wymienionym w jednym z plików cross_fuzz" - informuje Zalewski. Zapytanie dotyczyło pewnych funkcji w pliku mshtml.dll. W tym czasie nie było w sieci żadnych innych zapytań tego typu. "To bardzo silne wskazanie, że doszło do niezależnego odkrycia tego samego błędu w IE; inne wyjaśnienia następujących po sobie takich zapytań  są bardzo mało prawdopodobne" - mówi badacz.

Wbrew prośbom Microsoftu, który nie poprawił jeszcze wspomnianego błędu, Zalewski udostępnił cross_fuzz w niedzielę. Z jednej strony stało się tak dlatego, bo Chińczycy i tak wiedzą już o dziurze, a z drugiej - ponieważ specjaliści z Microsoftu nie ustosunkowali się do informacji, które im przekazał.

Pierwsze informacje o błędzie wraz z wcześniejszą wersją cross_fuzz Microsoft otrzymał już w lipcu. Z kolei 20 grudnia Zalewski poinformował firmę z Redmond, że zamierza udostępnić cross_fuzz. Dzień później skontaktowali się z nim przedstawiciele Microsoftu i poinformowali go, że brak odpowiedzi z ich strony wynikał z faktu, iż nie udało im się odtworzyć błędu, o którym informował ich pracownik Google'a. Kilka dni później Zalewski otrzymał następującą wiadomość: "Zespół zajmujący się IE przeprowadził szeroko zakrojone testy, ale nie byliśmy w stanie doprowadzić do tych samych błędów, które Ty i Dave (z Microsoftu) jesteście w stanie odnaleźć.  Nie wiem, dlaczego teraz udało się nam na nie trafić, ale zapewniamy, że nie było to celowe działanie".

Jerry Bryant, rzecznik prasowy Microsoft Security Response Center, oświadczył, że w lipcu ani eksperci Microsoftu, ani Google'a nie byli w stanie odtworzyć warunków, w jakich dochodziło do błędu. "Dopiero 21 grudnia nowa wersja narzędzia cross_fuzz dostarczyła nam informacji na temat błędu".

To nie pierwsze starcie, pomiędzy badaczami Google'a a Microsoftem. W połowie ubiegłego roku doszło do utarczki pomiędzy Tavisem Ormandy'm a koncernem z Redmond.

Share this post


Link to post
Share on other sites

wzieli by sie za coś poważnego do roboty zamiast udowaniać sobie nawzajem "który jest lepszy"

Share this post


Link to post
Share on other sites

Moim zdaniem to, że sobie coś udowadniają, a już przynajmniej jeśli chodzi o Microsoft to wyjdzie to wszystkim na dobre. Oprogramowanie drożeje a dziur coraz więcej. Już teraz Microsoft zamiast skupiać się na ulepszeniach i łataniu krytycznych dziur "siódemki", to zajmuje się już nowym systemem, żeby po raz kolejny zgarniać kasę.

Share this post


Link to post
Share on other sites

Dokładnie. Proces łatania dziur na pewno jest praktyczny i rozwojowy. Czasami po prostu trzeba zrobić dużo zamieszania, aby Microsoft na chwilę odszedł od koryta i poprawił swój produkt. Tym bardziej jak mówi artykuł nasz rodak wykrył wiele dziur nie tylko w IE, a każde oprogramowanie musi się rozwijać.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      Prawnikom Google'a nie udało się doprowadzić do odrzucenia przez sąd pozwu związanego z nielegalnym gromadzeniem danych użytkowników przez koncern. Sędzia Lucy Koh uznała, że Google nie poinformował użytkowników, iż zbiera ich dane również wtedy, gdy wykorzystują w przeglądarce tryb anonimowy.
      Powodzi domagają się od Google'a i konglomeratu Alphabet co najmniej 5 miliardów dolarów odszkodowania. Twierdzą, że Google potajemnie zbierał dane za pośrednictwem Google Analytics, Google Ad Managera, pluginów oraz innych programów, w tym aplikacji mobilnych. Przedstawiciele Google'a nie skomentowali jeszcze postanowienia sądu. Jednak już wcześniej mówili, że pozew jest bezpodstawny, gdyż za każdym razem, gdy użytkownik uruchamia okno incognito w przeglądarce, jest informowany, że witryny mogą zbierać informacje na temat jego działań.
      Sędzia Koh już wielokrotnie rozstrzygała spory, w które były zaangażowane wielkie koncerny IT. Znana jest ze swojego krytycznego podejścia do tego, w jaki sposób koncerny traktują prywatność użytkowników. Tym razem na decyzję sędzi o zezwoleniu na dalsze prowadzenie procesu przeciwko Google'owi mogła wpłynąć odpowiedź prawników firmy. Gdy sędzia Koh zapytała przedstawicieli Google'a, co koncern robi np. z danymi, które użytkownicy odwiedzający witrynę jej sądu wprowadzają w okienku wyszukiwarki witryny, ci odpowiedzieli, że dane te są przetwarzane zgodnie z zasadami, na jakie zgodzili się administratorzy sądowej witryny.
      Na odpowiedź tę natychmiast zwrócili uwagę prawnicy strony pozywającej. Ich zdaniem podważa ona twierdzenia Google'a, że użytkownicy świadomie zgadzają się na zbieranie i przetwarzanie danych. Wygląda na to, że Google spodziewa się, iż użytkownicy będą w stanie zidentyfikować oraz zrozumieć skrypty i technologie stosowane przez Google'a, gdy nawet prawnicy Google'a, wyposażeni w zaawansowane narzędzia i olbrzymie zasoby, nie są w stanie tego zrobić, stwierdzili.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Przed sądem federalnym w San Jose złożono pozew zbiorowy przeciwko Google'owi. Autorzy pozwu oskarżają wyszukiwarkowego giganta o to, że zbiera informacje o internautach mimo iż używają oni trybu prywatnego przeglądarki. Uważają, że Google powinien zapłacić co najmniej 5 miliardów dolarów grzywny.
      Zdaniem autorów pozwu problem dotyczy milionów osób, a za każde naruszenie odpowiednich ustaw federalnych oraz stanowych koncern powinien zapłacić co najmniej 5000 USD użytkownikowi, którego prawa zostały naruszone.
      W pozwie czytamy, że Google zbiera dane za pomocą Google Analytics, Google Ad Managera i innych aplikacji oraz dodatków, niezależnie od tego, czy użytkownik klikał na reklamy Google'a. Google nie może w sposóby skryty i nieautoryzowany gromadzić danych na temat każdego Amerykanina, który posiada komputer lub telefon, piszą autorzy pozwu.
      Do zarzutów odniósł się Jose Castaneda, rzecznik prasowy koncernu. Za każdym razem, gdy użytkownik uruchamia przeglądarkę w trybie prywatnym, jest jasno informowany, że przeglądane witryny mogą śledzić jego poczynania, stwierdził.
      Specjaliści ds. bezpieczeństwa od dawna zwracają uwagę, że użytkownicy uznają tryb prywatny za całkowicie zabezpieczony przez śledzeniem, jednak w rzeczywistości takie firmy jak Google są w stanie nadal zbierać dane o użytkowniku i, łącząc je z danymi z publicznego trybu surfowania, doprecyzowywać informacje na temat internautów.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Cyberprzestępcy wykorzystują nowo odkrytą dziurę zero-day w Internet Explorerze. Luka pozwala napastnikowi na korzystanie z systemu na prawach aktualnie zalogowanego użytkownika. Błąd występuje w IE 9, 10 i 11 w wersjach na Windows 7, 8.1, RT 8.1, 10, Server 2008, 2008 R2, Server 2012, 2016 i 2019.
      US CERT (Computer Emergency Response Team) informuje, że atak może zostać przeprowadzony za pomocą odpowiednio spreparowanej witryny lub dokumentu HTML renderowanego przez przeglądarkę. Microsoft donosi, że dotychczas zanotowano ograniczoną liczbę ataków z wykorzystaniem tej dziury.
      Dziura pozwalająca na zdalne wykonanie kodu wykorzystuje błąd w przetwarzaniu obkektów przez silnik Internet Explorera. W wyniku błędu dochodzi do awarii podsystemu pamięci tak, że napastnik może wykonać dowolny kod na prawach zalogowanego użytkownika. [...] Jeśli zalogowany jest administrator, napastnik może przejąć kontrolę nad systemem. Ma wówczas możliwość instalowania programów, przeglądania, zmiany i usuwania danych czy też stworzenia nowego konta z pełnymi uprawnieniami użytkownika, czytamy na stronach Microsoftu.
      Koncern opublikował też porady dotyczące obejścia problemu i tymczasowego zabezpieczenia się przed atakiem. Proponuje ograniczenie dostępu do JScript.dll. Jednak, jako że technika ta wymaga uprawnień administracyjnych, korzystania z linii komend, a ograniczenia należy wyłączyć przed zainstalowaniem łatki, działania takie zalecane są tylko wówczas, jeśli jesteśmy narażeni na atak.
      Odpowiednia poprawka zostanie opublikowana w drugą środę przyszłego miesiąca, w ramach comiesięcznego zestawu łat.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Google podsumowało jedną z najbardziej długotrwałych wojen, jaką stoczyło ze szkodliwym oprogramowaniem. W ciągu ostatnich trzech lat firma usunęła ponad 1700 aplikacji zarażonych różnymi odmianami szkodliwego kodu o nazwie Bread (Joker).
      Jego twórcy byli wyjątkowo uparci. Zwykle autorzy szkodliwego kodu przestają go wgrywać do Play Store gdy tylko zostanie on wykryty przez Google'a. Przestępcy stojący za Bread'em nie poddali się tak łatwo. Działali przez ponad trzy lata i co tydzień przygotowywali nową wersję szkodliwego kodu.
      Przez te trzy lata stosowali tę samą technikę – wprowadzali w kodzie serię niewielkich zmian, licząc na to, że uda się oszukać stosowane przez Google'a mechanizmy obronne. Zwykle się nie udawało, ale czasami przestępcy odnosili sukces. Na przykład we wrześniu ubiegłego roku ekspert ds. bezpieczeństwa, Aleksejs Kurpins znalazł w Play Store 24 różne aplikacje zarażone Jokerem. W październiku inny ekspert znalazł kolejną aplikację, a kilka dni później Trend Micro poinformował o odkryciu kolejnych 29 kolejnych zarażonych programów. Później znajdowano kolejne, w tym arkusze kalkulacyjne Google Docs.
      Jednak w większości wypadków mechanizmy Google'a działały dobrze i zablokowały ponad 1700 aplikacji, które miały zostać umieszczone w Play Store. Jak dowiadujemy się z wpisu na oficjalnym blogu, w pewnym momencie hakerzy użyli niemal każdej znanej techniki, by ukryć kod. Zwykle przestępcy posługiwali się jednorazowo 3–4 wariantami szkodliwego kodu. Jednak pewnego dnia próbowali wgrać aplikacja zarażone w sumie 23 odmianami kodu.
      Najbardziej skuteczną techniką zastosowaną przez twórców szkodliwego kodu było wgranie najpierw czystej aplikacji do Play Store, a następnie rozbudowywanie jej za pomocą aktualizacji zawierających już szkodliwy kod. Przestępcy nie ograniczali się jedynie do tego. Umieszczali na YouTube filmy z recenzjami, które miały zachęcić internautów do instalowania szkodliwych aplikacji.
      Jak informuje Google, twórcy Breada działali dla korzyści finansowych. Pierwsze wersje ich szkodliwego kodu miały za zadanie wysyłać SMS-y premium, z których przestępcy czerpali korzyści. Gdy Google zaostrzył reguły dotyczące korzystania przez androidowe aplikacje z SMS-ów, przestępcy przerzucili się na WAP fraud. Telefon ofiary łączył się za pomocą protokołu WAP i dokonywał opłat, którymi obciążany był rachunek telefoniczny. Ten typ ataku był popularny na na przełomie pierwszego i drugiego dziesięciolecia bieżącego wieku. Później praktycznie przestał być stosowany. Nagle, w roku 2017, wystąpił prawdziwy wysyp szkodliwego kodu, który znowu korzystał z tej techniki. Jak twierdzi Google, twórcy Breada byli najbardziej upartą i wytrwałą grupą przestępczą, która używała WAP fraud.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Francuski urząd ds. konkurencji nałożył na Google'a grzywnę w wysokości 150 milionów euro. Koncern został ukarany za zachowania antykonkurencyjne oraz niejasne zasady Google Ads.
      Google naruszył swoją dominującą pozycję na rynku reklamy w wyszukiwarkach poprzez niejasne i trudne do zrozumienia zasady korzystania z platformy Google Ads oraz zastosowanie ich w sposób nieuczciwy i przypadkowy, stwierdzili urzędnicy. Na amerykańską firmę nałożono obowiązek wyjaśnienia zasad działania Google Ads i właściwego uzyskania zgody użytkowników na prezentowanie im spersonalizowanych reklam. Firma ma również przedstawić jasne procedury zawieszania kont oraz opracować procedury informowania, zapobiegania, wykrywania i postępowania w razie wykrycia naruszenia regulaminu Google Ads.
      Przedstawiciele koncernu zapowiedzieli, że odwołają się od decyzji.
      Wiele europejskich krajów bacznie przygląda się działalności amerykańskich gigantów IT. Firmy takie jak Google, Facebook, Apple czy Amazon są wielokrotnie krytykowane za płacenie zbyt niskich podatków. Nie dalej jak we wrześniu bieżącego roku Google porozumiał się z władzami Francji i zgodził się zapłacić niemal miliard euro grzywny w ramach ugody w sprawie do oszustwa podatkowe. Z kolei w styczniu bieżącego roku francuski urząd odpowiedzialny za ochronę danych ukarał koncern grzywną w wysokości 50 milionów euro za naruszenie europejskich przepisów dotyczących prywatności.

      « powrót do artykułu
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...