Bezpečnostní expert našel desítky chyb v internetových prohlížečích

Bezpečnostní expert našel desítky chyb v internetových prohlížečích

Po vzoru Charlieho Millera, Michal Zalewski sestavil vlastní program pro tzv. fuzzy testování internetových prohlížečů, zejména zaměřeného na DOM struktůry a výsledek se dostavil. Program dokázal identifikovat okolo stovky chyb ve všech prohlížečích na trhu a stále nachází nové.

To však není nic překvapivého, Charlie Miller již před tím poukazoval na fakt, že jen málo výrobců software testuje výsledný produkt tímto způsobem a již z principu věci vyplývá, že i kdyby testoval, nemusel by dojít ke stejným výsledkům. Překvapivá je však reakce ze strany výrobců software.

Zatímco Microsoft (který byl stejně jako ostatní vývojáři informován v létě 2010) pouze oznámil, že přijal oznámení o bezpečnostní chybě a ozval se pouze po té co jej Michal Zalewski kontaktoval v prosinci. Tehdy jej žádal o odložení veřejného oznámení chyb bez jakéhokoliv zdůvodnění. Na druhou stranu prý nebyla nalezena chyba, která by mohla obejít tzv. Chráněný režim.

WebKit prohlížeče (tedy včetně Safari) by měly mít většinu chyb opravenou v chybě 42959. Bohužel některé obtížně zjistitelné chyby jsou stále ještě na seznamu.

Mozilla se zachovala k Firefoxu podobně jako vývojáři WebKitu, až na drobné vylepšení, že sami začali provádět fuzzing a našli dalších padesát chyb, které jsou průběžně opravovány.

Prohlížeč Opera by měl mít v prosinci opraveny veškeré závažné chyby, bohužel jejich seznam nebyl sdělen. U verze se pouze uvádí, že podrobnosti budou sděleny později.

Poslat Bezpečnostní expert našel desítky chyb v internetových prohlížečích na facebook
Publikováno 4.1.2011
 

Změna barev | Autorská práva | Kontakt | Podpora | RSS kanály
© 2006 Gandalf, Design by Mirek
Creative Commons License