Włam przez Photoshopa? Phi, to pestka

Zgodnie z raportem opublikowanym przez badaczy z Princeton University, niektóre popularne aplikacje AOL czy Adobe zostały napisane bardzo niestarannie z punktu widzenia bezpieczeństwa. Zastosowane w nich sztuczki mogą umożliwiać włamywaczom wniknięcie do systemu operacyjnego.

Zdaniem naukowców, programy domagają się m.in. zbyt wysokich uprawnień (o czym autor wspominał już też tutaj), a to znacząco ułatwia pracę przestępcom.

Jedynym pocieszeniem może być fakt, że błędy te raczej trudno exploitować zdalnie, a po uzyskaniu fizycznego dostępu do maszyny złodziej nie musi wcale wykorzystywać instalacji Photoshopa. Równie dobrze może... wetknąć klucz USB, by posłużyć się funkcjonalnością wbudowaną w sterowniki magistrali, bezpośrednim dostępem do pamięci (patrz artykuł: "X-Force - grupa do zadań specjalnych")

Nowy cel ataku: aplikacje

Z faktem, że włamywacze coraz częściej będą skupiać się na "bezpiecznych programach" zamiast na systemie operacyjnym, zgadzają się już praktycznie wszyscy w branży. Wspomina o tym zarówno SANS Institute, jak i Michał Jarski z Internet Security Systems: "Będzie coraz więcej ataków na aplikacje uznawane za bezpieczne: przeglądarki plików graficznych, PDF, odtwarzacze multimedialne etc.; nie mówiąc już o Skype, czy przeglądarkach internetowych;

Naukowcy z Princeton ostrzegają, ale niechętnie mówią o konkretnych, znalezionych przez siebie dziurach (patrz również: "Adobe łata Photoshopa i Illustratora"). Ich zdaniem wiedza ta mogłaby być wykorzystana przez włamywaczy.

Patrz również: witryna Computerworld (w języku angielskim)


Zobacz również