Разделы

Безопасность

Российские технари уличили Microsoft в беспомощности

Специалисты российской компании Positive Technologies обнаружили серьезную уязвимость в пакете обновлений Windows XP Service Pack 2. Оказалось, что в этом обновлении не работают механизмы предотвращения выполнения данных (Data Execution Protection, DEP) - то, ради чего SP2, собственно, и выпускался. Самое парадоксальное в этой ситуации - то, что ни Microsoft, ни крупнейшие порталы по информационной безопасности не стали публиковать эту информацию, мотивировав это намерениями избежать панических настроений среди пользователей ПК.
Наличие уязвимости в Windows XP Service Pack 2, дающее возможность обхода встроенных механизмов защиты от переполнения и выполнения кода в области данных, было обнаружено российскими специалистами еще в декабре прошлого года. Как рассказал CNews технический директор Positive Technologies Юрий Максимов, сразу после этого сотрудники компании связались с представительством корпорации Microsoft. Последним были предоставлены PoC-коды (Proof-of-Concept, подтверждение возможности злонамеренного использования уязвимости). В корпорации подтвердили получение информации и намерение исследовать обнаруженную проблему, однако больше никаких шагов в этом направлении не предпринимали.

«Поскольку эта уязвимость не вызывает предпосылок для образования автоматически распространяемых вирусов, но при этом может быть критичной для специалистов, рассчитывающих на встроенную систему безопасности при использовании определённых аппаратных комплексов, мы сочли возможным опубликовать сообщение об обнаруженной проблеме и предложить утилиту для её устранения, — рассказал г-н Максимов. — На реакцию Microsoft мы уже и не рассчитывали, но у нас возникло опасение, что эту уязвимость могут своими силами раскопать и хакерские группы». Г-н Максимов отметил, что, как правило, реакция Microsoft на сообщения разработчиков систем информационной безопасности, в случае, если речь не идёт о сверхкритических уязвимостях, которыми могут воспользоваться хакеры, занимает 3–6 месяцев, что является неоправданно продолжительным сроком. Стоит отметить, что Билл Гейтс, председатель совета директоров Microsoft и основатель компании, постоянно заявляет о том, что приоритетом для его детища является безопасность — программных продуктов, интернета в целом и пр. Очередное из серии подобных заявлений г-н Гейтс сделал перед журналистами в США не далее как вчера.

Сообщение об уязвимости SP2 было разослано в различные организации, в том числе и CERT. Примечательно, что портал Security Focus, афиллированный с крупнейшим мировым производителем антивирусного ПО, корпорацией Symantec, не стал размещать это сообщение. Как предполагают в Positive Technologies, это было сделано по «политическим» соображениям. По данным CNews, сообщения об уязвимостях в продуктах крупных разработчиков на подобных порталах публикуются только после согласования.

«Реакция Microsoft поступила через несколько часов после того, как мы направили всем заинтересованным организациям письма, — рассказывает Юрий Максимов. — Представители корпорации попросили не публиковать информацию, ссылаясь на то, что еще не знают, как её оценивать, и опасаются коллапса. Однако информация была разослана и поток публикаций нельзя было остановить. В Microsoft выразили сожаление по этому поводу и попросили в следующий раз так не делать». Получается, что предотвращение распространения информации об уязвимости является для корпорации не менее важным делом, чем устранение проблем с ПО.

По оценкам экспертов, наличие уязвимости с механизмом DEP является скорее ударом по имиджу корпорации, нежели серьёзной технической проблемой: «На создание патча для SP2 разработчикам Microsoft потребовались бы считанные часы, но делать заплатку для заплатки, очевидно, — ниже достоинства корпорации». Стоит отметить, что по словам г-на Максимова, утилиту для устранения уязвимости в SP2 уже скачали несколько десятков тысяч пользователей, не только в Рунете.

Техподдержка «Базальт СПО» — гарантия надежной работы вашей ИТ-инфраструктуры
Маркет

«Реакция Microsoft на заявление Positive Technologies об обнаруженной уязвимости в SP2 не делает чести крупнейшему разработчику ПО. Возникает мысль о том, что компания во главу угла ставит свои маркетинговые интересы, а лишь затем заботится о безопасности своих продуктов», — высказал своё мнение Роман Боровко, эксперт CNews Analytics.

В представительстве Microsoft корреспонденту CNews сообщили, что механизм реакции на сообщения сторонних разработчиков об уязвимостях является закрытой информацией. Там подтвердили принятие информации Positive Technologies к сведению: "Сейчас ведется работа над тем, чтобы новый кумулятивный патч устранял и эту уязвимость. Также, мы хотели бы выразить благодарность компании Positive Technologies за предоставленную информацию, разработку и публикацию решения, устраняющего эту уязвимость".