r   e   k   l   a   m   a
r   e   k   l   a   m   a

Luka w Viście, nie tak poważna, jak przewidywano

Strona główna Aktualności

Parę dni temu informowaliśmy o zapowiedzi Marka Dowda z IBM Internet Security Systems (ISS) oraz Aleksandra Sotirova z VMWare, zaprezentowania sposobu ominięcia zabezpieczeń systemu Windows Vista. Jak się okazało, sytuacja nie wygląda aż tak poważnie jak wcześniej zwiastowano. Jak informuje serwis Ars Technica, luki faktycznie występują, nie dotyczą jednak mechanizmów ochrony pamięci Address space layout randomization (ASLR) i Data Execution Prevention (DEP), ale ochrony przed przepełnieniem bufora.

Błędy przepełnienia bufora są specyficznym rodzajem błędów objawiających w sytuacji, gdy dana aplikacja próbuje zapisać w nim zbyt dużą ilość danych. Wykorzystanie tego typu podatności staje się możliwe, kiedy wprowadzony zostanie do wybranego procesu kod arbitralny, po czym nastąpi jego uruchomienie. Przykładem podobnego problemu była między innymi głośna usterka w animowanych kursorów w Viście. Pomimo, że nie jest możliwe całkowite zabezpieczenie przed tego typu podatnościami, wykorzystanie języków Java i platformy .NET, przy tworzeniu aplikacji, stwarza mniejsze ryzyko dodatkowo na zdalne wykonanie kodu. Jednym z zabezpieczeń, zadaniem którego jest ochrona przed tego typu podatnościami jest, wprowadzony z Service Packiem 2 dla Windows XP, mechanizm DEP. W przypadku, jeżeli jest on aktywny, każdy blok pamięci w danym procesie wymaga oznaczenia jako "wykonywalny" dla procesora, aby uruchomione zostały wszystkie instrukcje w nim zapisane. W praktyce oznacza to, że nawet jeśli napastnik pokusi się o wprowadzenie tego typu arbitralnego kodu w danym procesie, procesor nie będzie go w stanie uruchomić, co skutecznie uniemożliwi łatwe wykonanie ataku przepełnienia bufora.

Szybko jednak znaleziono sposoby na ominięcie tego typu sposobów, np. przy użyciu bibliotek DLL. W związku z tym, zarówno w Windows Vista, jak i Windows Server 2008, zaimplementowanych zostało wiele technik, zmniejszających ryzyko pomyślnego ominięcia DEP. Jednym z nich jest właśnie ASLR, którego działanie polega na całkowicie losowym organizowaniem lokalizacji plików DLL, tak aby atakujący nie był w stanie odgadnięcia ich rzeczywistego położenia, a także innych rodzajów obrony. To bowiem właśnie one stały się celem na jednej z sesji na konferencji Black Hat oraz, że w niektórych przypadkach, pewne zabezpieczenia są najzwyczajniej wyłączone. Dla przykładu, zarówno Internet Explorer 7 i Firefox nie wykorzystują DEP, zaś wtyczki takie jak Flash nie stosują ASLR i innych. Prawdziwym problemem są skrypty i wtyczki, które mogą zawierać dużą ilość złośliwego kodu w pamięci, tak aby nawet, gdy ASLR jest aktywny, napastnik mógł być pewien, iż złośliwy kod jest w ustalonym miejscu.

Nie oznacza to oczywiście, że bezpieczeństwo Visty jest bardzo niskie. Vista zawiera wiele, niespotykanych chociażby we wcześniejszych edycjach Windows, technologii. Dodatkowo, pomimo, że ataki te dotyczą ochrony bufora, nie obchodzą User Account Control, czy też trybu Protection Mode w Internet Explorerze, działającego w systemie w bardzo ograniczonym środowisku. Tym samym przygotowany przez badaczy expolit zadziała tylko wtedy, gdy napotka na drodze zainfekowane oprogramowanie.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.