Bezpečnostní chyba Quicktime uzmožní obejít ASLR i DEP

Bezpečnostní chyba Quicktime uzmožní obejít ASLR i DEP

Jak již to tak bývá, tak sebelepší ochrana jakéhokoliv systému selhává, pokud si uživatel nainstaluje nebezpečný software. Je smutné, že tímto softwarem může být i QuickTime u kterého upozornil na nebezpečnou chybu španělský bezpečnostní analytik. Ještě smutnější je, že tato chyba je naprosto zbytečná, protože se jedná o část kódu, kterou Apple zapomněl vymazat při sestavování nové verze (využívá parametrů, které nejsou dokumentovány v nové verzi QuickTime).

Abych ještě vysvětlil zkratky v titulku článku ASLR je zkratka pro Address Space Layout Randomization - technologie, která umožňuje umisťovat spouštěcí kód různých knihoven na náhodných místech v systému  a ztížit tak potencionálním hackerům možnost nabourat se do systému díky znalosti, že na adrese xy je kód, který přijme jeho požadavky.

DEP je zkratka od Data Execution Prevention. Systém si označí části paměti ve kterých je kód a ve kterých jsou data a nedovolí pak spuštění kódu z datové oblasti. Nejedná se o nijak novou technologii. Ve Windows XP je k dispozici od SP2. Tutéž možnost nabízí také některé procesory, včetně těch od Intelu.

Poslat Bezpečnostní chyba Quicktime uzmožní obejít ASLR i DEP na facebook
Publikováno 31.8.2010
 

Změna barev | Autorská práva | Kontakt | Podpora | RSS kanály
© 2006 Gandalf, Design by Mirek
Creative Commons License