neprihlásený Štvrtok, 9. júla 2026, dnes má meniny Lujza
Podľa experta bola WMF chyba vo Windows úmyselná

DSL.sk, 16.1.2006


Podľa bezpečnostného experta Steva Gibsona kritická bezpečnostná chyba v spracovaní WMF obrázkov vo Windows bola úmyselnými zadnými vrátkami a nie náhodnou chybou.

Gibson tvrdí, že o tom svedčí priam nelogické správanie kódu vo Windows pri spracovávaní WMF súborov, ktoré nie je vysvetliteľné chybou programátora.

Kritická chyba v spracovaní WMF obrázkov umožňujúca výkon útočníkom zvoleného kódu spôsobila na prelome rokov veľa problémov, chybu zneužívalo podľa niektorých odhadov až niekoľko tisíc rozličných škodlivých kódov. Microsoft dokonca výnimočne pre chybu vydal opravu predčasne mimo pravidelných mesačných záplat.

Gibson zachádza vo svojich tvrdeniach a obvineniach ešte ďalej a naznačuje, že takýto spôsob výkonu kódu len návštevou web stránky mohol do spracovania WMF obrázkov vložiť dokonca úmyselne Microsoft a nie jednotlivý programátor.

Dôvodom by podľa Gibsona malo byť, že Microsoft si chcel zabezpečiť možnosť spúšťať kód na užívateľovom PC aj v prípade, že ActiveX je deaktivované. V súčasnosti sú na rozličné online funkcie, ako napríklad aktualizácia Windows na stránkach Microsoftu využívané práve ActiveX komponenty.

Microsoft rezolútne všetky tieto obvinenia poprel. Dôvodom chyby podľa Microsoftu bolo, že kód spracúvajúci WMF sa vo Windows nachádza už od roku 1990, kedy sa nekládol príliš veľký dôraz na bezpečnosť.

S Gibsonom nesúhlasia ani viacerí bezpečností experti, podľa ktorých okrem iných dôvodov je nelogické, aby niekto prípadné zadné vrátka inštaloval do spracovania WMF súborov, keď je dodávateľom celého operačného systému.

Podcast Security Now je možné nájsť na tejto stránke, Gibsonovo označenie chyby vo WMF za zadné vrátka v časti 22.



Najnovšie články:

Slovensko.sk má technické problémy
Na Slovensko.sk sa zle overovali elektronické podpisy, dopady nejasné
Na Slovensku sa začína vyhadzovať veľké množstvo starých fotovoltaických panelov
SpaceX žiada o povolenie vypustiť ďalších 100-tisíc satelitov
Voyo opäť zdražuje
Intel potvrdil zdraženie CPU, aj kvôli vysokému dopytu
Loď na záchranu vesmírneho teleskopu Swift úspešne odštartovala
OpenSSH pridal postkvantový algoritmus už aj pre autentifikáciu
Tesla zvýšila množstvo vyrobených elektromobilov
4ka v noci plánovane odstaví hovory do iných sietí


Diskusia:
                               
 


Koho to zaujima podrobnejsie a vie trochu po anglicky:
http://blogs.technet.com/msrc/archive/2006/01/13/417431.aspx
Odpovedať Hodnotiť:
 

naco nam sem davas technicku obhajobu Microsoftu, my mu aj tak neverime... :))
Odpovedať Hodnotiť:
 

Rozhodne budem radsej verit Stevovi ako MS. Ved to nie su prve najdene "dvierka". :)
Odpovedať Hodnotiť:
 

nemyslim si ze by ms umyselne implementoval back-door do svojich systemov. nemoze si to dovolit z dvoch dovodov:

1.) uz tak je nan dost vyvijany tlak v podobe konkurencie *nix os a open source aplikacii

2.) ms ma pomerne velku klientelu v korporatnych zakaznikoch, a dokazanie umyselnej implementacie back-door by spustilo, podla mna, celkom znacny odliv zakaznikov

...z toho ale moze vyplyvat, ze aj keby to bolo umyselne, aj tak to bolo "neumyselne" :)
Odpovedať Hodnotiť:

Pridať komentár