PWN2OWN: zamieszania z luką ciąg dalszy

Błąd w oprogramowaniu Adobe Flash, z którego skorzystał jeden ze zwycięzców konkursu hakerskiego PWN2OWN, został wykryty już kilka miesięcy temu - poinformował właśnie organizator hakerskich zawodów. Co ciekawe, przed Shane'm Macaulay'em (zwycięzcą konkursu) lukę znaleźli - niezależnie od siebie - dwaj specjaliści ds. bezpieczeństwa.

"Eksperci z całego świata bez przerwy szukają błędów w oprogramowaniu - nic więc dziwnego, że często zdarza się, iż kilka osób znajdzie tę samą lukę. W tym przypadku mamy do czynienia z sytuacją, w której trzy różne osoby, działające z różnych pobudek, wykryły problem z zabezpieczeniami w Adobe Flash" - mówi Terri Forslof z firmy TippingPoint (która zorganizowała konkurs PWN2OWN).

Z przedstawionych przez Forslof informacji wynika, że jako pierwszy błąd wykrył już w listopadzie 2007 r. David Maynor, znany specjalista ds. bezpieczeństwa z firmy Errata Security. Z opublikowanego przez niego wtedy raportu wynika, że ekspert zidentyfikował problem z zabezpieczeniami Flash Playera, aczkolwiek nie zdołał wtedy stwierdzić jednoznacznie, czy może on zostać przeprowadzony do ataku na komputer i jak taki atak mógłby wyglądać. Maynor dopiero po pewnym czasie opracował odpowiedniego exploita - został on włączony do zestawu narzędzi do testów penetracyjnych, oferowanego przez Errata Security.

"Sprawdziłam to dokładnie po niedawnym udostępnieniu przez Adobe nowej, poprawionej wersji Flash Playera - okazało się, że błąd wykorzystany przez Shane'a do wygrania w PWN2OWN to ta sama luka, którą David Maynor zgłosił kilka miesięcy temu Adobe" - stwierdziła Forslof.

Drugą osobą - w porządku chronologicznym - która odkryła ów błąd, był niejaki Javier Vicente Vallejo, który zgłosił problem w ramach prowadzone przez TippingPoint program Zero Day Initiative (dzięki niemu specjaliści mogą sprzedawać firmie informacje o nowych lukach). Raport w tej sprawie wpłynął do ZDI 7 lutego 2008 r.

Ostatni był wspomniany już Shane Macaulay, który pod koniec marca wykorzystał tę samą lukę w Adobe Flash do wygrania konkursu PWN2OWN. Przedstawiciele TippingPoint zdecydowali się na wypłacenie mu nagrody (w wysokości 5 tys. USD), ponieważ, jak tłumaczą, Macaulay wygrał konkurs zgodnie z przepisami - tzn. wykorzystał do tego nieznaną powszechnie lukę w oprogramowaniu. Terri Forslof podkreśla, że ani David Maynor, ani Javier Vicente Vallejo nie ogłosili publicznie informacji o błędzie (pierwszy przekazał ją tylko Adobe, drugi - Zero Day Initative). A to oznacza, że Shane Macaulay odkrył problem na własną rękę.

"Cały czas zdarza nam się, że ktoś zgłasza nam lukę, która nie została jeszcze oficjalnie ogłoszona, ale o której wiemy już od innego specjalisty - to naturalne, że różne osoby mogą znaleźć ten sam błąd. Zwykle płacimy wtedy obu osobom - bo obie znalazły błąd, a poza tym zależy nam na tym, by przejąć informację o problemie i nie dopuścić do jej niekontrolowanego opublikowania" - tłumaczy przedstawicielka TippingPoint.

Więcej informacji o konkursie PWN2OWN oraz kontrowersjach związanych z wyłonieniem zwycięzcy w jego trzecim etapie znaleźć można w tekstach: "Adobe: wiedzieliśmy o tej dziurze", "PWN 2 OWN: Mac pierwszą ofiarą", czy "Linux: bezpieczny czy ignorowany?".


Zobacz również