Στο παρελθόν, η δημόσια αποκάλυψη προβλημάτων ασφαλείας σε προϊόντα της Microsoft από τη Google εαποτέλεσε πεδίο αντιπαραθέσεων μεταξύ των δύο εταιρειών, με την πρώτη να ισχυρίζεται πως τίθενται σε κίνδυνο οι πελάτες της και ότι δεν της δινόταν επακρής χρόνος για διορθώσεις και τη δεύτερη να απαντά πως δινόταν πάρα πολύς χρόνος πριν τη δημόσια ανακοίνωση και η Microsoft ήταν αυτή που καθυστερούσε χαρακτηριστικά στην επίλυση των προβλημάτων.
Τώρα φαίνεται πως η Microsoft προσπαθεί να απαντήσει με το ίδιο νόμισμα. Εγκαινιάζοντας τη νέα της πολιτική σχετικά με την αποκάλυψη αδυναμιών σε προϊόντα τρίτων, εξέδωσε δύο αναφορές ασφαλείας που αφορούν software της Google. Πιο συγκεκριμένα, τον browser Chrome, για τον οποίον η κατασκευάστρια υποστηρίζει πως η μέθοδος sandboxing που χρησιμοποιεί συμβάλλει στη μεγαλύτερη ασφάλεια των χρηστών σε σχέση με την χρήση άλλων browsers όπως ο Internet Explorer.
Η αναφορά MSVR11-002 κάνει λόγο για πρόβλημα «στην HTML5 υλοποίηση των Chrome και Opera που θα μπορούσε να επιτρέψει την αποκάλυψη πληροφοριών». Πιο συγκεκριμένα, το πρόβλημα αφορά την ασφάλεια των στοιχειών canvas, στην περίπτωση των οποίων θα μπορούσε να συμβεί διαρροή πληροφορίας αν scripts συγκεκριμένης προέλευσης μπορούν να προσπελάσουν πληροφορίες που έχουν διαφορετική προέλευση. Η αναφορά MSVR11-001 επισημαίνει μία αδυναμία που «θα μπορούσε πιθανόν να επιτρέψει την απομακρυσμένη εκτέλεση κώδικα μέσα στο sandbox». Η Microsoft ισχυρίζεται ότι προκαλείται από τον τρόπο που ο Chrome προσπαθεί να αναφερθεί σε κομμάτι μνήμης που έχει αποδεσμευτεί και οτι «ένας επιτιθέμενος θα μπορούσε να εκμεταλλευτεί την αδυναμία ώστε να σταματήσει την απόκριση του browser ή να προκαλέσει απρόσμενο τερματισμό του, επιτρέποντας την εκτέλεση κώδικα στο sandbox του Google Chrome».
Αμφότερες οι αδυναμίες είναι χαμηλού κινδύνου. Για παράδειγμα, η πρώτη απαιτεί ο επιτιθέμενος «να γνωρίζει τη διεύθυνση IP του δικτυακού πόρου που περιέχει τις προσωπικές πληροφορίες». Και στην περίπτωση της δεύτερης, «η επιτυχής εκμετάλλευση της αδυναμίας δεν επιτρέπει σε κακόβουλο κώδικα να εκτελεστεί εκτός των πλαισίων του Chrome sandbox, το οποίο είναι απομονωμένο από το τοπικό σύστημα αρχείων όσον αφορά αναγνώσεις και εγγραφές, όμως άλλου είδους επιθέσεις ίσως είναι πιθανές».
Η Microsoft κάνει σαφές στις αναφορές ασφαλείας που εξέδωσε ότι συζήτησε τα προβλήματα αυτά με τη Google πριν από τη δημόσια ανακοίνωση και πρακτικά ομολογεί πως η τελευταία έχει ήδη διορθώσει τα συγκεκριμένα προβλήματα. Σύμφωνα με εκπρόσωπο της Google «τα θέματα αυτά στην πραγματικότητα είναι πολύ παλιά» και αναφέρθηκαν σε ανακοινώσεις της εταιρείας τους μήνες Σεπτέμβριο και Δεκέμβριο. Από αυτήν την άποψη, οι αναφορές ασφαλείας δεν είναι τίποτα το συνταρακτικό. Ενδιαφέρον όμως παρουσιάζει το γεγονός ότι μετά από χρόνια που η Microsoft βρισκόταν αμυνόμενη έναντι ερευνητών ασφαλείας που αποκάλυπταν τρύπες στα προϊόντα της, τώρα περνά η ίδια στην επιθέση. Σε κάθε περίπτωση, η Microsoft προχωρά προσεκτικά και υπαγορεύει πρότυπα στους εργαζομένους της σχετικά με την αναφορά τέτοιων αδυναμιών, όπως στον τρόπο που θα πρέπει να τις αναφέρουν και ότι θα πρέπει να περιμένουν να διορθωθούν πριν να τις ανακοινώσουν δημόσια. Σε αντίθεση για παράδειγμα με τους ερευνητές ασφαλείας της Google που φαίνεται να δρουν κατά μόνας και χωρίς ανάμειξη προϊσταμένων τους.
insomnia , PCWorld , Computerworld
Δεν υπάρχουν σχόλια :
Δημοσίευση σχολίου