Уязвимость в ANI-курсорах бросает тень на безопасность Windows Vista

Во вторник Microsoft выпустила обновление, имеющее статус критического, для исправления ошибки в безопасности Windows Vista. Эксперты по безопасности в очередной раз не советуют возлагать на Windows Vista большие надежды.

Софтверный гигант нарушил свой цикл ежемесячного выпуска патчей, чтобы исправить ошибку, которую интернет-мошенники используют с прошлой недели для атаки на Windows ПК, включая и ПК с новой Windows Vista.

"До тех пор пока будут уязвимости в программном обеспечении - до тех пор Windows Vista будет уязвима" - заявил Нанд Мулчадани, вице президент в Determina, компании, которая и обнаружила данную ошибку - "Это не супермены, это всего лишь люди. И это всего лишь программа. В плане ошибок, Vista будет похожа на другие ОС от Microsoft".

Суть уязвимости, в том, как ОС обрабатывает файл анимированных курсоров, что может позволить злоумышленнику получить доступ к компьютеру, пока пользователь просматривает вредоносный сайт, или письмо.

Данная ошибка должна была быть выловлена процессами проверки кода Windows Vista, известными как Security Development Lifecycle, заявляют некоторые эксперты. Также, это свидетельствует о том, что ошибочный код был скопирован из ранних версий Windows в Vista, добавляют эксперты.

"Немного преждевременно критиковать всю инициативу, но это та ошибка, которую Security Development Lifecycle должен был обнаружить" - заявил Амол Сарватэ, менеджер по исследованиям, в компании по управлению уязвимостями Qualys.

Уязвимость по переполнению буфера в функции обработки курсора должна была быть исправлена, тем более что два года назад в этом же компоненте Windows была уже исправлена одна ошибка, заявил Рохит Дхаманкар, менеджер по исследованиям безопасности в TippingPoint, компании продающей ПО для предотвращения вторжений в систему. Этот факт должен был вызвать повторную перепроверку кода, заявил Дхаманкар.

Microsoft же спорит с тем, что компания должна была раньше найти данную ошибку. Люди, которые так говорят - не понимают уязвимости в безопасности, так как не все ошибки получаются по одной и той же причине, заявил Стивен Тулуз, главный менеджер по продукции в Microsoft Security Technology Unit.

"В случае данной уязвимости с курсором, даже при том, что она напоминает предыдущий подобный случай, это не значит что код похож на предыдущую уязвимость" - заявил Тулуз - "А SDL никогда не создавался с намерением словить каждую отдельно взятую уязвимость".

Но Дхаманкар аргументирует тем, что Microsoft забыла перепроверить все возможности, которые могли бы привести к переполнению буфера, после того как в 2005 году была найдена и исправлена похожая уязвимость.

Мулчадани заявил: "Грязный маленький секрет Microsoft в том, что она не написала код Windows Vista с чистого листа. Они не построили абсолютно новую кодовую базу для Windows Vista. Каждая версия Windows, начиная с Windows NT, имеет данную уязвимость".

Microsoft признает, что в Windows Vista будут уязвимости. "Будут и другие уязвимости. SDL не тот процесс, при котором в коде может не быть ни одной ошибки, на планете нет ни одного процесса который бы позволил такое сделать" - заявил Тулуз.

Данная ошибка послужит сигналом для охотников, хакеры будут искать ошибки в сходных компонентах системы, чтобы найти способы атковать Windows Vista.

"Это очень существенная ошибка, и она окажет серьёзное влияние на будущее" - заявил Дхаманкар - "Если в будущем будут найдены еще такие ошибки, Vista не сможет обеспечить заявленный высокий уровень безопасности".

Хотя, безопасность Windows Vista не развалится от одной единственной уязвимости. Windows Vista более безопасна, чем XP, или любая другая клиентская ОС от Microsoft, заявил Сарватэ. "Если рассматривать Windows 2000, XP, 2003, я бы всё равно сказал бы, что Windows Vista более безопасна, по сравнению с другими ОС".

Мулчадани заявил, что хотя Microsoft и попыталась откусить слишком большой кусок с безопасностью, но всё равно Vista более безопасна, чем предыдущие ОС, из-за таких ограничивающих права пользователя функций как User Account Control.

А это именно то, чего и добивалась Microsoft, заявил Тулуз.


Источник: http://www.news.zdnet.co.uk
Перевод: prymara