Számos népszerű alkalmazásából hiányoznak olyan fontos védelmi eljárások, amelyek meggátolhatnák a hálózati támadásokat, olvashattuk a Secunia cikkében.

A dán sebezhetőségeket vizsgáló cég arra derített fényt, vajon a legnépszerűbb harmadik fél által (vagyis a Microsofttól függetlenül) fejlesztett alkalmazások használják-e a két alapvető Windows biztonsági szolgáltatást, a Data Execution Prevention (DEP) és az Address Space Layout Randomisation (ASLR) technológiákat.

A DEP a memória adatokat tartlmazó részét nem futtathatóvá jelöli meg, így időigényesebbé és komplexebbé tesz egy sebezhetőség kihasználására irányuló támadást. A DEP 2004 . augusztus 2-a óta a Windows rendszerek része.

Az ASLR a Windows Vista operációs rendszerben jelent meg 2007-ben. Használatával egy program kódja a memóriában véletlenszerűen elhelyezhető, így a tipikus rögzített memóriacímre utaló támadások működésképtelenek lesznek. Persze sem a DEP, sem az ASLR nem teszi lehetetlenné a sebezhetőségek kihasználását, de a támadásokat annyira megnehezíti, hogy sokkal több időt és erőforrást vesz igénybe egy új exploit elkészítése.

A cikk szerint számos fejlesztőcég figyelmét elkerüli a Microsoft két védelmi technológiája, pedig alklamazásuk egyszerűen történhet minden program fejlesztése során.

„Ezek a technológiák nem váltják ki a patchelést, nem is védenek meg az összes támadástól, de bizonyos esetekben meggátolhatják a sebezhetőségek kihasználását, más esetekben pedig csökkenthetik a sikeres exploitok számát.” – mondta Thomas Kristensen, a Secunia biztonsági igazgatója.

„A Microsoft rengeteget hirdeti a két védelmi eljárás szükségességét Windows 7 és Vista esetében. Minden szoftver fejlesztőnek tisztában kellene lenni ezzel, ezért nem értjük, miért nem alkalmazzák őket.” – tette hozzá Kristensen.

A vizsgált alkalmazások közé tartozik a Sun Java JRE, az Apple Quicktime, a VLC Media Player, az OpenOffice.org, a Google Picasa, a Foxit Reader, a Winamp és a RealPlayer. A cikk szerint közülük egyik sem használja  a DEP-et vagy az ASLR-t.

„Főként azoknak a fejlesztőknek kellene alkalmaznia a szolgáltatásokat, akik rendszeresen kapnak jelentéseket a sebezhetőségekről. Az általunk nem vizsgált cégeknél valószínűleg még szomorúbb képet fest a védelmi technológiák alkalmazása.”- emelte ki Kristensen.

Pozitívum, hogy a DEP néhány népszerű alkalmazásban már elérhető, pl. a Mozilla Firefox, az Apple iTunes és a Safari böngésző már alkalmazza. Azonban a kivitelezés folyamata lassú és következetlen volt a  rendszerek verziói között, állítja a jelentés. Sőt, az ASLR-t szinte az összes fejlesztő helytelenül használja.

„A két védelmi rendszert együtt kell alkalmazni a legjobb hatás elérése érdekében.” – mondta Kristensen.

A 16 elemzett alakalmazás közül egyedül a Google Chrome használta a DEP és ASLR technológiákat egyszerre. A Google szóvívője csütörtökön elmodta  az SC Magazine-nak, hogy a Picasa követketző kiadásában már tervezik alkalmazni a védelmi eljárásokat.

„Remélem, a jövőben egyre több fejlesztő fogja használni a védelmi eljárásokat. Ezekkel ugyanis jelentősen megnehezíthetők az exploitok, így a végfelhasználók is nagyobb biztonságban lennének.” – emelte ki Kristensen.

Ez a bejegyzés a(z) Adatvédelem, Hálózatbiztonság kategóriában készült 2010. július 15. 9:47-kor. A bejegyzés hozzászólásait RSS 2.0 csatornán keresztül is olvashatod. A bejegyzéshez hozzászólhatsz, vagy saját oldaladon hivatkozhatsz (trackback) rá.