Ratuj Głuszca
brak-podgladu-600

Pracujący dla Google’a Michał Zalewski poinformował, że chińscy hakerzy najprawdopodobniej wpadli na trop krytycznego niezałatanego błędu w Internet Explorerze. Błąd ten to jedna z około 100 dziur, które Zalewski znalazł w IE, Firefoksie, Chrome, Safari i Operze. Zalewski odkrył je za pomocą własnego narzędzia cross_fuzz. Później, jak mówi, przypadkowo ujawnił lokalizację tego narzędzia, więc mógł je pobrać każdy chętny. W związku z tym postanowił je udostępnić.
„Trzydziestego grudnia odebrałem zapytania z adresu IP zarejestrowanego w Chinach, które odpowiadały słowom kluczowym wymienionym w jednym z plików cross_fuzz” – informuje Zalewski. Zapytanie dotyczyło pewnych funkcji w pliku mshtml.dll. W tym czasie nie było w sieci żadnych innych zapytań tego typu. „To bardzo silne wskazanie, że doszło do niezależnego odkrycia tego samego błędu w IE; inne wyjaśnienia następujących po sobie takich zapytań  są bardzo mało prawdopodobne” – mówi badacz.

Wbrew prośbom Microsoftu, który nie poprawił jeszcze wspomnianego błędu, Zalewski udostępnił cross_fuzz w niedzielę. Z jednej strony stało się tak dlatego, bo Chińczycy i tak wiedzą już o dziurze, a z drugiej – ponieważ specjaliści z Microsoftu nie ustosunkowali się do informacji, które im przekazał.

Pierwsze informacje o błędzie wraz z wcześniejszą wersją cross_fuzz Microsoft otrzymał już w lipcu. Z kolei 20 grudnia Zalewski poinformował firmę z Redmond, że zamierza udostępnić cross_fuzz. Dzień później skontaktowali się z nim przedstawiciele Microsoftu i poinformowali go, że brak odpowiedzi z ich strony wynikał z faktu, iż nie udało im się odtworzyć błędu, o którym informował ich pracownik Google’a. Kilka dni później Zalewski otrzymał następującą wiadomość: „Zespół zajmujący się IE przeprowadził szeroko zakrojone testy, ale nie byliśmy w stanie doprowadzić do tych samych błędów, które Ty i Dave (z Microsoftu) jesteście w stanie odnaleźć.  Nie wiem, dlaczego teraz udało się nam na nie trafić, ale zapewniamy, że nie było to celowe działanie”.

Jerry Bryant, rzecznik prasowy Microsoft Security Response Center, oświadczył, że w lipcu ani eksperci Microsoftu, ani Google’a nie byli w stanie odtworzyć warunków, w jakich dochodziło do błędu. „Dopiero 21 grudnia nowa wersja narzędzia cross_fuzz dostarczyła nam informacji na temat błędu”.

To nie pierwsze starcie, pomiędzy badaczami Google’a a Microsoftem. W połowie ubiegłego roku doszło do utarczki pomiędzy Tavisem Ormandy’m a koncernem z Redmond.

Źródło: kopalniawiedzy.pl

Autor wpisu: pw

Komentarzy: 2 w artykule: ”Chińczycy na tropie dziury w IE”

  1. CSGO pisze:

    CSGO…

    Great internet websitewebsite! It looks very good! Keep up the excellent work!…

  2. Google pisze:

    Google…

    We prefer to honor quite a few other world-wide-web internet sites around the net, even if they aren’t linked to us, by linking to them. Below are some webpages really worth checking out….