Ratuj Głuszca
brak-podgladu-600

Pracujący dla Google’a Michał Zalewski poinformował, że chińscy hakerzy najprawdopodobniej wpadli na trop krytycznego niezałatanego błędu w Internet Explorerze. Błąd ten to jedna z około 100 dziur, które Zalewski znalazł w IE, Firefoksie, Chrome, Safari i Operze. Zalewski odkrył je za pomocą własnego narzędzia cross_fuzz. Później, jak mówi, przypadkowo ujawnił lokalizację tego narzędzia, więc mógł je pobrać każdy chętny. W związku z tym postanowił je udostępnić.
„Trzydziestego grudnia odebrałem zapytania z adresu IP zarejestrowanego w Chinach, które odpowiadały słowom kluczowym wymienionym w jednym z plików cross_fuzz” – informuje Zalewski. Zapytanie dotyczyło pewnych funkcji w pliku mshtml.dll. W tym czasie nie było w sieci żadnych innych zapytań tego typu. „To bardzo silne wskazanie, że doszło do niezależnego odkrycia tego samego błędu w IE; inne wyjaśnienia następujących po sobie takich zapytań  są bardzo mało prawdopodobne” – mówi badacz.

Wbrew prośbom Microsoftu, który nie poprawił jeszcze wspomnianego błędu, Zalewski udostępnił cross_fuzz w niedzielę. Z jednej strony stało się tak dlatego, bo Chińczycy i tak wiedzą już o dziurze, a z drugiej – ponieważ specjaliści z Microsoftu nie ustosunkowali się do informacji, które im przekazał.

Pierwsze informacje o błędzie wraz z wcześniejszą wersją cross_fuzz Microsoft otrzymał już w lipcu. Z kolei 20 grudnia Zalewski poinformował firmę z Redmond, że zamierza udostępnić cross_fuzz. Dzień później skontaktowali się z nim przedstawiciele Microsoftu i poinformowali go, że brak odpowiedzi z ich strony wynikał z faktu, iż nie udało im się odtworzyć błędu, o którym informował ich pracownik Google’a. Kilka dni później Zalewski otrzymał następującą wiadomość: „Zespół zajmujący się IE przeprowadził szeroko zakrojone testy, ale nie byliśmy w stanie doprowadzić do tych samych błędów, które Ty i Dave (z Microsoftu) jesteście w stanie odnaleźć.  Nie wiem, dlaczego teraz udało się nam na nie trafić, ale zapewniamy, że nie było to celowe działanie”.

Jerry Bryant, rzecznik prasowy Microsoft Security Response Center, oświadczył, że w lipcu ani eksperci Microsoftu, ani Google’a nie byli w stanie odtworzyć warunków, w jakich dochodziło do błędu. „Dopiero 21 grudnia nowa wersja narzędzia cross_fuzz dostarczyła nam informacji na temat błędu”.

To nie pierwsze starcie, pomiędzy badaczami Google’a a Microsoftem. W połowie ubiegłego roku doszło do utarczki pomiędzy Tavisem Ormandy’m a koncernem z Redmond.

Źródło: kopalniawiedzy.pl

Autor wpisu: pw

Komentarzy: 2 w artykule: ”Chińczycy na tropie dziury w IE”

  1. CSGO pisze:

    CSGO…

    Great internet websitewebsite! It looks very good! Keep up the excellent work!…

  2. Google pisze:

    Google…

    We prefer to honor quite a few other world-wide-web internet sites around the net, even if they aren’t linked to us, by linking to them. Below are some webpages really worth checking out….

Wypowiedz się

Musiszsię zalogować aby dodać komentarz.