Luka wykorzystana podczas PWN2OWN była znana od roku

Okazuje się, że Charlie Miller, który podczas konkursu PWN2OWN w ciągu niecałych dwóch minut złamał zabezpieczenia systemu Mac OS X, wykorzystał lukę w bibliotece PCRE. Stosowna aktualizacja biblioteki została wydana w maju 2007 roku. Przeglądarkę Safari zaktualizowano jednak dopiero w zeszłym tygodniu.

Udostępniana na zasadach open source biblioteka Perl Compatible Regular Expressions (PCRE) jest wykorzystywana m.in. przez serwer Apache, interpreter PHP, środowisko graficzne KDE oraz przeglądarkę Safari. Charlie Miller wykorzystał lukę właśnie w przeglądarce Apple.

Wspomniany błąd został wykryty prawie rok temu. W maju 2007 roku pojawiła się stosowna aktualizacja. Jednak programiści Apple skorzystali z poprawki i w stosowny sposób zaktualizowali własną przeglądarkę dopiero w zeszłym tygodniu. "Takie postępowanie jest niestety bardzo rozpowszechnione. Programiści wykorzystują biblioteki stworzone przez innych, jednak nie zawracają sobie głowy ich aktualizacjami" - uważa Dragos Rui, jeden z organizatorów konkursu PWN2OWN. Jego zdaniem problem jest jeszcze bardziej widoczny, w przypadku bibliotek kompresji zlib i JPEG.

Co ciekawe, Charlie Miller jeszcze podczas zeszłorocznej konferencji Black Hat przekonywał o konieczności częstej aktualizacji otwartych bibliotek wykorzystywanych w komercyjnym oprogramowaniu. W zeszłym roku Miller wykorzystał inną lukę w bibliotece PCRE do złamania zabezpieczeń innego produktu Apple - iPhone`a. Jednak jak sam przyznaje tym razem znalazł błąd dzięki analizie kodu źródłowego Safari i biblioteki PCRE. "Wystarczyło prześledzić listę wprowadzonych zmian" - mówi Miller. Według zapewnień organizatorów konkursu PWN2OWN Miller nie będzie musiał oddać nagród: 10 tys USD i komputera Macbook Air.

Tegorocznej edycji konkursu PWN2OWN towarzyszyło wiele kontrowersji. Jedną z nich jest fakt, że błąd w oprogramowaniu Adobe Flash wykorzystany do włamania do komputera pracującego pod kontrolą Windows Vista, był rzekomo znany przedstawicielom firmy Adobe.


Zobacz również