Data: Piątek, 26 marca 2010, 17:06

Miller nie ujawni znalezionych dziur

Charlie Miller, który po raz kolejny wygrał konkurs Pwn2Own, a wcześniej zapowiedział ujawnienie 20 dziur w produktach Apple, stwierdził, że nie przekaże informacji o dziurach. Zamiast tego pokaże Apple'owi i innym firmom, w jaki sposób mogą znaleźć luki w swoich produktach.

Już wcześniej Miller, który znalazł liczne niedociągnięcia używając techniki fuzzingu, mówił, że jest zdziwiony tym, iż tak łatwo na nie trafił. Stwierdził, że w produktach dużych firm, które zatrudniają olbrzymią liczbę ludzi w swoich wydziałach ds. bezpieczeństwa nie powinno być dziur, które jeden człowiek jest w stanie tak łato znaleźć. Tymczasem Miller użył zaledwie kilku linijek kodu dostarczającego do aplikacji błędnych danych, dzięki czemu doprowadzał do nieprawidłowości w ich działaniu, pozwalających na stwierdzenie, gdzie występują nieprawidłowości. W ten sposób szybko trafił na 20 luk w produktach Apple oraz luki w microsoftowym PowerPoincie, produkowanym przez Adobe Readerze oraz opensource'owym OpenOffice.

Sprawa jest o tyle bulwersująca, że skądinąd wiadomo, iż koncerny korzystają z fuzzingu. Na pewno używał go Microsoft podczas całego cyklu rozwojowego swoich produktów (Security Development Lifecycle).

Jedną ze znalezionych luk wykorzystał podczas ataku na Safari w czasie konkursu Pwn2Own.

Mariusz Błoński