Parę dni temu informowaliśmy o zapowiedzi Marka Dowda z IBM Internet SecuritySystems (ISS) oraz Aleksandra Sotirova z VMWare, zaprezentowaniasposobu ominięcia zabezpieczeń systemu Windows Vista. Jak sięokazało, sytuacja nie wygląda aż tak poważnie jak wcześniejzwiastowano. Jak informuje serwis Ars Technica, luki faktycznie występują, nie dotyczą jednakmechanizmów ochrony pamięci Address space layout randomization(ASLR) i Data Execution Prevention (DEP), ale ochrony przedprzepełnieniem bufora. Błędy przepełnienia bufora są specyficznym rodzajem błędówobjawiających w sytuacji, gdy dana aplikacja próbuje zapisać w nimzbyt dużą ilość danych. Wykorzystanie tego typu podatności stajesię możliwe, kiedy wprowadzony zostanie do wybranego procesu kodarbitralny, po czym nastąpi jego uruchomienie. Przykładem podobnegoproblemu była między innymi głośna usterka w animowanych kursorów wViście. Pomimo, że nie jest możliwe całkowite zabezpieczenie przedtego typu podatnościami, wykorzystanie języków Java i platformy.NET, przy tworzeniu aplikacji, stwarza mniejsze ryzyko dodatkowona zdalne wykonanie kodu. Jednym z zabezpieczeń, zadaniem któregojest ochrona przed tego typu podatnościami jest, wprowadzony zService Packiem 2 dla Windows XP, mechanizm DEP. W przypadku,jeżeli jest on aktywny, każdy blok pamięci w danym procesie wymagaoznaczenia jako "wykonywalny" dla procesora, aby uruchomionezostały wszystkie instrukcje w nim zapisane. W praktyce oznacza to,że nawet jeśli napastnik pokusi się o wprowadzenie tego typuarbitralnego kodu w danym procesie, procesor nie będzie go w stanieuruchomić, co skutecznie uniemożliwi łatwe wykonanie atakuprzepełnienia bufora. Szybko jednak znaleziono sposoby na ominięcie tego typu sposobów,np. przy użyciu bibliotek DLL. W związku z tym, zarówno w WindowsVista, jak i Windows Server 2008, zaimplementowanych zostało wieletechnik, zmniejszających ryzyko pomyślnego ominięcia DEP. Jednym znich jest właśnie ASLR, którego działanie polega na całkowicielosowym organizowaniem lokalizacji plików DLL, tak aby atakującynie był w stanie odgadnięcia ich rzeczywistego położenia, a takżeinnych rodzajów obrony. To bowiem właśnie one stały się celem najednej z sesji na konferencji Black Hat oraz, że w niektórychprzypadkach, pewne zabezpieczenia są najzwyczajniej wyłączone. Dlaprzykładu, zarówno Internet Explorer 7 i Firefox nie wykorzystująDEP, zaś wtyczki takie jak Flash nie stosują ASLR i innych.Prawdziwym problemem są skrypty i wtyczki, które mogą zawierać dużąilość złośliwego kodu w pamięci, tak aby nawet, gdy ASLR jestaktywny, napastnik mógł być pewien, iż złośliwy kod jest wustalonym miejscu. Nie oznacza to oczywiście, że bezpieczeństwo Visty jest bardzoniskie. Vista zawiera wiele, niespotykanych chociażby wewcześniejszych edycjach Windows, technologii. Dodatkowo, pomimo, żeataki te dotyczą ochrony bufora, nie obchodzą User Account Control,czy też trybu Protection Mode w Internet Explorerze, działającego wsystemie w bardzo ograniczonym środowisku. Tym samym przygotowanyprzez badaczy expolit zadziała tylko wtedy, gdy napotka na drodzezainfekowane oprogramowanie.
