Windows 8 ide hacknúť, experti zraniteľnosti taja a predávajú

DSL.sk, 2.11.2012

V novom operačnom systéme Windows 8, ktorý je všeobecne dostupný len od uplynulého piatka, sa podľa renomovanej francúzskej bezpečnostnej spoločnosti Vupen nachádzajú zraniteľnosti umožňujúce získať kontrolu nad týmto operačným systémom.

Dostupnosť funkčného exploitu avizovala spoločnosť v utorok, upozornil Forbes.

Vupen je známa bezpečnostná spoločnosť, ktorá napríklad s veľkým náskokom v marci vyhrala hackerskú súťaž Pwn2Own a ktorá informácie o zraniteľnostiach respektíve exploity predáva zákazníkom okrem iného z radov vládnych bezpečnostných zložiek, napríklad na infikovanie počítačov za účelom odpočúvania.

Podľa informácií Vupen pre noviny Microsoft vo Windows 8 zlepšil viaceré technológie ochrany, okrem iného vylepšil ASLR pre umiestňovanie modulov na náhodné adresy a sandbox v Internet Exploreri 10 pre obmedzenie práv kódu spúšťaného v rámci kontextu procesu prehliadača.

Vupen prekonala podľa svojho stanoviska všetky tieto vylepšenia. Spoločnosť zároveň naznačuje, že sa do systému dostáva cez Internet Explorer 10 a využíva pri tom viacero zraniteľností.

Spoločnosť informácie o zraniteľnostiach predáva a spoločnosti Microsoft ich neposkytla, zatiaľ tak zostávajú a zostanú neopravené.




Najnovšie články:



Diskusia:

aaaaaa Od: lentak | Pridané: 2.11.2012 9:56 zda trochu zcestne, ze nejaka firma ponuka tieto bugy tretim stranam na ich zneuzite. Zo zakona by ktorakolvek spolocnost mala fin. odmenit nalazcu bugu a takisto ulozit povinnost nalezcovi oboznamit vyvojara produktu o jeho chybach. Mozno potom by sa potom menej predavali derave OS a zakaznik by nebol zbytocne zavadzany/kontrolovany. Odpovedať Známka: -1.7 Hodnotiť:

Re: aaaaaa Od: :::: | Pridané: 2.11.2012 10:15 Preco scestne? Tak isto sa predavaju naboje a zbrane. Zo zakona? A podla coho sa urci cena? Lebo je rozdiel najst chybu a chybu este aj "zneuzit" (prekonat vsetky zabezpecenia typu HEASLR, DEP/NX, Protect Mode. atd) - uspesne spustit vlastny kod. Odpovedať Známka: 1.2 Hodnotiť:

Re: aaaaaa Od: zzxx | Pridané: 2.11.2012 10:51 je to scestne. S nabojmi do zbrani sa to neda porovnavat. Tato firma zaraba na predaji chyb, vdaka ktorym niekto iny moze urobit skodu. To iste ako keby som ja zistil nieci PIN ku karte alebo kod tu trezoru a poskytol ho niekomu, kto sa vie dostat k danemu trezoru alebo platobnej karte. To je treste, bol by som spolupachatel. To iste aj tato firma, ak by niekto na zaklade ich iformacii urobil nieco nekale, tak su spoluvinnici. Neviem, ci aj nahodou bez zneuzitia by to nebolo trestne. Odpovedať Známka: 2.7 Hodnotiť:

Re: aaaaaa Od: peter8978 | Pridané: 2.11.2012 11:09 pozeram, ze tu je pravnikov a pravnikov... :) takze ked spravim video ako sa da pomocou vesiaka otvorit auto a dam ho na youtube, tak mozem cakat kuklacov? :) Odpovedať Známka: 1.7 Hodnotiť:

Re: aaaaaa Od: jasomto. | Pridané: 2.11.2012 11:52 ano su tu i pravnici urcite tak kuklacov by si asi nepockal, ale v podstate ano - mozes mat problemy http://a.toprq.com/U3g1op (daj si hladat, navod, pomoc v dokumente, pripadne na google napomahanie trestnemu cinu kradeze, lupeze, odcudzenia majetku a pod.) Predstav si ze zverejnis video ako sa da otvorit auto ktore doteraz nikto nikdy neotvoril lebo bolo najlepsie zabezpecene. Budes najlepsi, ale je to ten isty pripad, a prva ta hned zazaluje automobilka a bude vymahat ujmu (to o aku ujmu pojde, ako sa obhajis je irelevantne...). Samozrejme nepletme tu, ze to das na nejaku stranku ako anonym, i to sa da vypatrat, otazka je ci sa za tym pojde... Vela krat sa i tak stalo/deje v inych pripadoch (sony a ich ps3 napr.)... Odpovedať Známka: -5.5 Hodnotiť:

Re: aaaaaa Od: peter8978 | Pridané: 2.11.2012 12:35 > prva ta hned zazaluje automobilka > Vela krat sa i tak stalo/deje v inych pripadoch (sony a ich ps3 napr.)... mal by si rozlisovat obciansko pravny spor a tresny cin. Ak si myslis, ze je to skutocne tresny cin, mal by si podat oznamie napriklad za toto video http://goo.gl/IIy2J na adlo.sk :) tak sup, sup :) Odpovedať Známka: 2.3 Hodnotiť:

Re: aaaaaa Od: zzxx | Pridané: 2.11.2012 14:44 to peter8978: Pouzil si zly priklad. preco by som mal na nich podat trestne oznamenie? Reportovali bug (zverejnili ho) a zaroven aj zaplatu, co Vupen neurobil. Som im za to vdacny a tebe tiez za zverejnenie odkazu. Vsetci vyrobcovia okien mozu vdaka tomu reportu opravit mechanizmus zatvarania okien. MS to ale nemoze urobit, lebo Vupen ten bug nezverejnil. Za druhe adlo ten bug nepredava ako Vupen. Tu je ten problem, Vupen to robi ucelovo z dovodu zisku. Odpovedať Známka: 5.4 Hodnotiť:

Re: aaaaaa Od: peter8978 | Pridané: 2.11.2012 15:14 tak vsetci to robia lebo prachy, co si budeme klamat... njn, zly priklad som dal. Ale tak ci tak, Vupen nikoho na nic nenavadza. Urcite pri predavani maju peknu formulaciu, ze nezodpovedaju za nic. Plus, ak by to museli zverejnit, co by z toho mali? Si myslis, ze by to robili zadarmo a z cistej lasky k MS? Odpovedať Známka: 2.0 Hodnotiť:

Re: aaaaaa Od: zzxx | Pridané: 3.11.2012 21:01 ja som o povinnosti zverejnovat bugy nic nepisal. Aj preto lebo si to neviem predstavit. Toto by si vyrobca SW mal poriesit sam. Mne sa nepacilo to, ze nejaka firma zaraba na chybach ich predavanim bez zverejenia a este tym aj chvali. To by som zakonom zakazal. Som si ale vedomy, ze by bolo skoro nemozne kontrolovat, ci sa dodrziava ale aspon by sa tym firmy nechvalili a v pripade odhalenia by mali problem. Naco by niekto kupoval chyby(okrem vyrobcu daneho SW)? Asi kazdeho prve napadne, ze na ich zneuzitie a tu je ten problem. Odpovedať Známka: 6.0 Hodnotiť:

Re: aaaaaa Od reg.: K-NinetyNine | Pridané: 2.11.2012 15:30 aj ty aj ten pred tbou miesate hrusky s jablkami. zverejnenie takeho postupu, nie je nic hrozne. aspon to da autorom podnet na zlepsenie, vidia kde spravili chybu a ak ju neodstrania, je to ich starost. tato situacia sa vsak neda porovnavat s hadzanim videi na youtube, Vupen predsa nic nezverejnilo, nikto stale nevie aka je ta chyba, preto ju nikto nemoze opravit. a Vupen informacie o tej chybe preda najvyssej ponuke - ktora ak nebude od MS, tak jedine za ucelom jej zneuzitia. Odpovedať Známka: 5.0 Hodnotiť:

Re: aaaaaa Od: msw | Pridané: 2.11.2012 11:16 "je rozdiel najst chybu a chybu este aj zneuzit". mas sice pravdu, ale naozaj tomu veris ze niekto bude za tazke prachy "kupovat chyby" len aby si ju pridal do zbierky a mal dobry pocit ? ;) Odpovedať Známka: 7.5 Hodnotiť:

Re: aaaaaa Od reg.: leader | Pridané: 2.11.2012 14:22 pre antivirove spolocnosti a spolocnosti vykonavajuce bezpecnostny audit to moze byt zaujimave Odpovedať Známka: -2.5 Hodnotiť:

Re: aaaaaa Od: ... | Pridané: 2.11.2012 17:38 "A podla coho sa urci cena? " A podla coho tato firma urcuje cenu za nimi objavenu chybu ked ju predava tretim stranam? Dalej by ma zaujimalo z akeho dovodu ju nechce nahlasit Microsoftu? V zaujme zneuzitia? Potom sa jedna o blackhat hackerov ktori maju zaujem iba skodit a este na tom aj zarobit, ziadna slusna firma ten Vupen nebude. Odpovedať Známka: 4.3 Hodnotiť:

Re: aaaaaa Od: :::: | Pridané: 2.11.2012 18:11 Je na firme(Vupen sec.) ako si ceni svoj vyskum a vyvoj. Exploity ponuka vyhradne pre vladne agentury. Preco by ich mali nahlasit Microsoftu? Aby za to dostali v security bullentine thanks? Ich vyskumnici stravili nad tym cas, tak si opravnene mozu pytat za to peniaze. Je to cisty bussines tak ako iny. Microsoft ma vlastnych ludi na programovanie a testovanie(SDL), tak preco by im to zadarmo mala robit ina firma? (dni Full-disclosure su davno prec). Pekny vecer :) Odpovedať Známka: 0.9 Hodnotiť:

Re: aaaaaa Od: ... | Pridané: 2.11.2012 18:33 Kde je napisane, ze Microsoft by to chcel zadarmo? Odpovedať Známka: 6.0 Hodnotiť:

Re: aaaaaa Od: :::: | Pridané: 2.11.2012 19:08 Pracujem v tejto oblasti takze viem. Microsoft sa vyhyba plateniu typu "bug bounty". Vyzera to tak, ze namiesto vykupovaniu zranitelnosti vyhlasuje radsej sutaz pre "mitigation techniques" - prva cena bola $200,000. Odpovedať Známka: 6.7 Hodnotiť:

Re: aaaaaa Od reg.: anywherehome | Pridané: 2.11.2012 10:42 bugy se prodávájí běžně....a samo co nejtajněji, aby je neschopný Microosft neopravil :) Odpovedať Známka: 8.5 Hodnotiť:

Re: aaaaaa Od: NAIVKA | Pridané: 2.11.2012 10:42 hahaha heker, ktory vie predat objaveny utok za statisice eur, dolarov, by urcite dodrzal takyto zakon Odpovedať Známka: 9.0 Hodnotiť:

Re: aaaaaa Od: eax0r | Pridané: 2.11.2012 13:32 Zo zakona by ktorakolvek spolocnost mala fin. odmenit nalazcu bugu - a to ako ktora spolocnost ? a kto by stanovil cenu ? a takisto ulozit povinnost nalezcovi oboznamit vyvojara produktu o jeho chybach - a preco by som to robil ? mne je srdecne jedno ze cely win je deravy, co by som z toho mal ja ? Odpovedať Známka: 2.0 Hodnotiť:

win 8 Od: :::: | Pridané: 2.11.2012 10:02 No more free bugs! Well done Vupen sec guys. Odpovedať Známka: 7.6 Hodnotiť:

msterorists Od: msbill | Pridané: 2.11.2012 10:03 pravda je taka ze microsoft z vladou USA spolupracuje, a vlada moze preniknut do cohokolvek od MSu... to ze to este zneuziva nejaka vsivacka usa firma nieje na cudo... ale pre spionaz cokolvek Odpovedať Známka: 1.0 Hodnotiť:

Re: msterorists Od: hasan | Pridané: 2.11.2012 10:08 mozes to potvrdit nejakym relevantnym zdrojom alebo si to cital na nejakej paranoidno - konspiracnej stranke? Odpovedať Známka: -2.4 Hodnotiť:

Re: msterorists Od reg.: pribinacik | Pridané: 2.11.2012 10:23 ze ta huba neboli ked tu taketo kraviny pises... Odpovedať Známka: -6.2 Hodnotiť:

Re: msterorists Od: Ramtech | Pridané: 2.11.2012 13:23 Vláda USA má k dizpozícii zdrojáky MS windows... Odpovedať Známka: -0.9 Hodnotiť:

Re: msterorists Od: hahahahahahaha | Pridané: 2.11.2012 13:32 no a? na nete su dostupne zdrojaky tisicov programov a to automaticky neznamena, ze je v nich backdoor alebo nieco podobne... zverejnene zdrojaky neznamenaju vobec nic z tohto pohladu... (aj rusaci maju zdrojaky a co teraz, poserieme sa?) Odpovedať Známka: 2.9 Hodnotiť:

..... Od: xvzf | Pridané: 2.11.2012 11:36 Myslim ze M$ nebude mat problem najat si niekoho, kto od Vupen know-how kupi, takze nechapem cele to snazenie :) Odpovedať Známka: -3.3 Hodnotiť:

lllllll Od: necum | Pridané: 2.11.2012 13:43 hm a to je legalne? keby chybu nasiel nejaky jednotlivec a predal to tak sa mu nemze nic stat??? Odpovedať Známka: 0.0 Hodnotiť:

Re: lllllll Od: 34rdsf | Pridané: 2.11.2012 16:32 Musis predavat vladam. Vtedy zakony neplatia. Odpovedať Známka: 8.9 Hodnotiť:

MS ..... Od: Big Br.jr. | Pridané: 2.11.2012 16:27 Ale noooo, to nie je ziadna bezpecnostna chyba :)) len niekto objavil jednu z gatiii, ktore su tam na sledovanie a kontrolu nad usermi. (teroristami, zlodejmi atd...) Ved podla ideologie velkeho brata, kazdy kto pouziva nejaky OS je potencionalny ..... O toto sa sanzi MS uz od W3.11 a nie len MS, vsak si len skuste nainstalovat napr. drivery na HP tlaciarne :)) :)) :)) Odpovedať Známka: 2.5 Hodnotiť:

IE users Od: Pakomil | Pridané: 2.11.2012 17:49 :D hadam nikto necakal ze sa to nebude dat "hacknut" :D Odpovedať Známka: 6.5 Hodnotiť:

americke sudnictvo Od reg.: tomibojko | Pridané: 3.11.2012 1:14 celkom si viem predstavit ze v americkom sudnictve potom co mi napalia 100 K pokutu za dve pesnicky by som zazaloval Vupen s.r.o. ze skrz ich "produkt" mi sposobil financnu ujmu :) Odpovedať Známka: 5.0 Hodnotiť:

Hacknutie Win8 Od: Radik10 | Pridané: 3.11.2012 18:29 vazeni, treba prestat podporovat Microsoft, kupit Mac, resp. Linux a nemate problem s bezpecnostou... :D (a ani antivirak nepotrebuje) Odpovedať Známka: 0.0 Hodnotiť:

Re: Hacknutie Win8 Od: Ivanko1 | Pridané: 3.11.2012 21:56 Ty si teda riadne zažal... Na čom dnes bežíš? Kupit Mac... Jablko bolo dobre tak pred 10 rokmi, kedy ich vykon hardware a software bol dobre odladeny. Dnes je to rovnaka komercia, ako aj ich neodladeny iPhone plny bugs. Ved si len pozri iPhone mapy v poslednom jablku a to si dovolia pustit do obehu. A Linux nepotrebuje antivirak, lebo bezny uzivatel (myslene Internet fans a kacelarska krysa), ktori najviac ohrozuju bezpecnost stahovanim nezmyselnych suborov si Linux nenaintaluju. Nemysli si, ze Linux nie je deravy, len coho sa menej pouziva je aj predpoklad, ze sa objavi menej chyb. Naco by niekto programoval malware a pod. skodlivy soft pre Linux, ked by nesplnil ucel a zasiahol by male percento populacie. Cele je to len o tom. Odpovedať Známka: -1.1 Hodnotiť:

Re: Hacknutie Win8 Od: asdsdf | Pridané: 4.11.2012 20:01 To co si pisal o linuxoch plati len pre desktopy, pri androidoch (kde je jadro tiez linuxove) aj linux serveroch je situacia ina Odpovedať Známka: 3.3 Hodnotiť:

Re: Hacknutie Win8 Od: Cuda | Pridané: 3.11.2012 22:00 Ty si tiež dobrý Matelko! Odpovedať Známka: -7.1 Hodnotiť:

Pridať komentár