Popravi ali pa te zašpecamo!

Google nadaljuje s svojim projektom Projet Zero, s katerim se trudijo najti varnostne luknje v programskih paketih in o njih obveščati avtorje. V zadnjem času so na tapeti predvsem Microsoftovi programi, kjer so »guglovci« našli že nekaj napak, o njih obvesili Microsoft , ta pa – napak ni (pravočasno) popravil. Project Zero je namreč obveščanim zadal 90 dni časa, da luknje odpravijo, Microsoft pa tega ni storil, zato so napake sedaj javno objavljene. Microsoft je besen, Google pa se ne da. Pred dvema dnevoma so tako javno objavili napako v funkciji CryptProtectMemory za šifiranje pomnilnika. Microsoft se brani, da nekatere napake ni tako enostavno odpraviti, saj »popravilo« za sabo potegne mnogo združljivostnih težav.

Sicer pa Microsoft v svojih težavah ni sam, podobno se je pred nekaj dnevi zgodilo Corelu. Varnostno podjetje Core Security je v njihovih programih našlo varnostno luknjo, o njej obvestilo Corel, ta pa v doglednem času napake ni odporavil. Zato so sedaj podatki o luknji javni. Konkretno – Corelovi programi (podjetje se hvali, da jih uporablja kar 100 milijonov uporabnikov) ob podatkovni datoteki avtomatsko odprejo tudi specifično datoteko DLL, če se nehaja v istem imeniku in s tem v pomnilnik naložijo tudi potencialno nevarno kodo.  Pri nekaterih programih mora biti DLL poimenovan wintab32.dll, pri drugih pa FxManagedCommands_3.08_9.tx ali TD_Mgd_3.08_9.dll. Zloraba s pomočjo datotek DLL sicer ni novost, uporabljal jo je tudi ameriški vladni trojanec Stuxnet, ki je tako nalagal DLLje na industrijskih sistemih Siemens SIMATIC STEP 7 in SIMATIC PCS 7.