С момента выхода финальной версии браузера Internet Explorer 8 прошло
менее суток, а между тем в браузере уже была обнаружена первая проблема
безопасности кода. На проходящей ИТ-конференции PWN2OWN, организованной
компанией 3Com, участник, известный под ником Nils, смог обойти систему
безопасности браузера и похитить с тестового компьютера заданный
организаторами файл.
За свои "достижения" немецкий участник получил объявленный приз - 5000 долларов и новый ноутбук Sony Vaio.
По словам представителей компании 3Com, на тестовом компьютере была
установлена последняя доступная сборка операционной системы Windows 7 и
финальная версия браузера на английском языке. Сам Nils говорит, что в
случае с IE8 сработал ранее написанный им эксплоит под IE7.
"Важно, чтобы Microsoft понимала, что проблемы были и остаются. Бывают случаи,
когда выход нового продукта из-за критических багов можно было бы и
отложить. Корпорации необходимо изучить эту проблему и устранить ее", -
говорят в 3Com.
"Мы проводили испытания в совершенно реальных условиях, на взлом системы безопасности браузера у участника ушло около 5 минут", - сообщают организаторы. По их словам, детали и код эксплоита были переданы сразу после взлома Майку Риви, операционному менеджеру Microsoft Security Research Center.
В корпорации Microsoft пока никак не прокомментировали новую уязвимость, сославшись на то, что
технические специалисты изучают проблему.
Однако, справедливости ради, стоит заметить, что на взломе IE8 Nils не остановился. После этого, он опять-таки при помощи написанных им эксплоитов взломал системы защиты браузеров Safari и Firefox. В итоге, с конференции молодой человек уехал с 15 000 долларов, а разработчики браузеров - с мыслями о надежности своих разработок.
PS: чувак использовал зеро-дэй эксплойты (т.е. такие, которые не были известны широкой обшественности и компаниям-разработчикам программных продуктов) - вот это я понимаю домашняя работа на 15 штук баксов! Замечу, что код этих эксплойтов передан компаниям-разработчикам браузеров (и больше никому пока что), так что ждите новый ФФ со дня на день.
Чтобы вы понимали серьезность проблемы: чувак просто создал сайт, страничку на котором открыли последней, самой пропатченной версией браузера. В результате открытия чувак получил полный контроль над компьютером.
Что касается Оперы, то на неё даже никто не смотрел. Нет смысла ставить в программу соревнований браузер, рыночная доля которого в районе 1% (это в мире).
Ссылка
UPDATE: ссылка на сайт конкурса PWN2OWN:
http://dvlabs.tippingpoint.com/blog/2009/02/25/pwn2own-2009