Luka wykorzystana podczas PWN2OWN była znana od roku

Subskrybuj RSS A A A
22 kwietnia 2008 10:01
Piotr Waszczuk, IDG News Service

TAGI: PWN2OWN Safari PCRE

Okazuje się, że Charlie Miller, który podczas konkursu PWN2OWN w ciągu niecałych dwóch minut złamał zabezpieczenia systemu Mac OS X, wykorzystał lukę w bibliotece PCRE. Stosowna aktualizacja biblioteki została wydana w maju 2007 roku. Przeglądarkę Safari zaktualizowano jednak dopiero w zeszłym tygodniu.

Udostępniana na zasadach open source biblioteka Perl Compatible Regular Expressions (PCRE) jest wykorzystywana m.in. przez serwer Apache, interpreter PHP, środowisko graficzne KDE oraz przeglądarkę Safari. Charlie Miller wykorzystał lukę właśnie w przeglądarce Apple.

Wspomniany błąd został wykryty prawie rok temu. W maju 2007 roku pojawiła się stosowna aktualizacja. Jednak programiści Apple skorzystali z poprawki i w stosowny sposób zaktualizowali własną przeglądarkę dopiero w zeszłym tygodniu. "Takie postępowanie jest niestety bardzo rozpowszechnione. Programiści wykorzystują biblioteki stworzone przez innych, jednak nie zawracają sobie głowy ich aktualizacjami" - uważa Dragos Rui, jeden z organizatorów konkursu PWN2OWN. Jego zdaniem problem jest jeszcze bardziej widoczny, w przypadku bibliotek kompresji zlib i JPEG.

Co ciekawe, Charlie Miller jeszcze podczas zeszłorocznej konferencji Black Hat przekonywał o konieczności częstej aktualizacji otwartych bibliotek wykorzystywanych w komercyjnym oprogramowaniu. W zeszłym roku Miller wykorzystał inną lukę w bibliotece PCRE do złamania zabezpieczeń innego produktu Apple - iPhone`a. Jednak jak sam przyznaje tym razem znalazł błąd dzięki analizie kodu źródłowego Safari i biblioteki PCRE. "Wystarczyło prześledzić listę wprowadzonych zmian" - mówi Miller. Według zapewnień organizatorów konkursu PWN2OWN Miller nie będzie musiał oddać nagród: 10 tys USD i komputera Macbook Air.

Tegorocznej edycji konkursu PWN2OWN towarzyszyło wiele kontrowersji. Jedną z nich jest fakt, że błąd w oprogramowaniu Adobe Flash wykorzystany do włamania do komputera pracującego pod kontrolą Windows Vista, był rzekomo znany przedstawicielom firmy Adobe.

m.computerworld.pl - sprawdź mobilną wersję serwisu Computerworld
w swoim smartfonie.

Oceń artykuł

średnio: 0 liczba ocen: 0
Podziel się |

Komentarze (4)

+Dodaj komentarz

hUK

22-04-2008 12:54
odpowiedz zmoderuj

A C64 - jak rządziło 20 late temu tak nadal rządzi ;p A tak na poważnie - Apple zaczyna sie powoli staczać jeżeli chodzi o oprogramowanie... :(

Piki

22-04-2008 12:11
odpowiedz zmoderuj

Sa-Sa-Sa-Safaaaari, Możliwości ma Spectruma, Lecz to Atarowców duma!

~Gość

22-04-2008 12:09
odpowiedz zmoderuj

Caly Apple. Aktualizacje po 6 mies od wykrycia luki, ale rznac po 10 000 zl za komputer warty 3000 zl to pierwsi!

giker

22-04-2008 11:32
odpowiedz zmoderuj

ciekawe ile danych zdazylo wyplynac przez ten rok :) -linuxuser





Najpopularniejsze

Najnowsze

Państwo do konsolidacji

Państwo do konsolidacji
Obywatele uważają administrację publiczną za jeden organizm. W rzeczywistości jest to kilka tysięcy oddzielnych struktur, obrosłych biurokratycznymi naroślami. Czy można zracjonalizować działanie państwa? Jak w tym może pomóc informatyka?

Zarządzanie po japońsku

Zarządzanie po japońsku
W praktyce przemysłowej wypracowano szereg skutecznych metod zarządzania. Wiele powstało w Japonii. Dlaczego, mimo ich efektywności, nie zawsze są stosowane w biznesie?

e-Sąd z odsieczą sprawiedliwości

e-Sąd z odsieczą sprawiedliwości
Polski wymiar sprawiedliwości postrzegany jest jako skostniały i opieszały. Tymczasem kolejne e-usługi udostępniane przez Ministerstwo Sprawiedliwości ułatwiają życie przedsiębiorcom i usprawniają pracę sądów.

e-Zdrowie w Polsce i na świecie

e-Zdrowie w Polsce i na świecie
Projekty informatyzacji służby zdrowia realizowane są na świecie z różnym powodzeniem. Skąd Polska mogłaby czerpać wzorce? A może jesteśmy skazani na własne rozwiązania?

Raport Państwo 2.0, czyli nowa wizja informatyzacji państwa

Raport Państwo 2.0, czyli nowa wizja informatyzacji państwa
Michał Boni, minister administracji i cyfryzacji, zaprezentował raport "Polska 2.0. Nowy start dla e-administracji". Przedstawia on informacje na temat stanu realizacji projektów będących w gestii nowo utworzonego ministerstwa oraz prezentuje kierunki dalszych działań związanych z informatyzacją i cyfryzacją administracji publicznej w naszym kraju.

Cyberprzestępcy podążają za użytkownikami

Cyberprzestępcy podążają za użytkownikami
Już dwie na trzy polskie firmy odnotowały ataki lub awarie, które spowodowały spadek produkcji. Co trzecia firma utraciła dane. Liczba takich przypadków będzie rosła, bo hakerzy biorą na cel najbardziej masowe technologie. Szybko reagują też na zmiany w firmowej architekturze.

Jak zaplanować karierę w branży IT

Jak zaplanować karierę w branży IT
Doświadczenia łączone na różnych stanowiskach w firmach o odmiennych profilach są szczególnie cenione przez pracodawców. Dlatego warto głęboko przeanalizować możliwości rozwoju kariery, które obecnie stwarza rynek IT.

Rekomendacje




Serwisy IDG - Warunki obsługi - Kontakt - Redakcja - Regulamin - O nas - Polityka prywatności - Serwis zgodny z ASME
Reklama - Licencjonowanie treści - Prenumerata: Computerworld, Networld, PC World
Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA.
 © Copyright 2012 International Data Group Poland S.A. 04-204 Warszawa ul. Jordanowska 12 tel.(+4822)321-78-00 fax(+4822)321-78-88