QR CodeLuka wykorzystana podczas PWN2OWN była znana od roku

Michał Gruszka, 22 kwietnia 2008, 12:00
Tagi: bezpieczeństwo, ciekawostka, MAC OS X

Jak poinformował portal IDG, Charlie Miller, który podczas konkursu PWN2OWN w ciągu niecałych dwóch minut złamał zabezpieczenia systemu Mac OS X, wykorzystał lukę w bibliotece PCRE. Stosowna aktualizacja biblioteki została wydana w maju 2007 roku. Przeglądarkę Safari zaktualizowano jednak dopiero w zeszłym tygodniu.

Udostępniana na zasadach open source biblioteka Perl Compatible Regular Expressions (PCRE) jest wykorzystywana m.in. przez serwer Apache, interpreter PHP, środowisko graficzne KDE oraz przeglądarkę Safari. Charlie Miller wykorzystał lukę właśnie w przeglądarce Apple.

Wspomniany błąd został wykryty prawie rok temu. W maju 2007 roku pojawiła się stosowna aktualizacja. Jednak programiści Apple skorzystali z poprawki i w stosowny sposób zaktualizowali własną przeglądarkę dopiero w zeszłym tygodniu.

Dragos Rui, jeden z organizatorów konkursu PWN2OWN powiedział:

Takie postępowanie jest niestety bardzo rozpowszechnione. Programiści wykorzystują biblioteki stworzone przez innych, jednak nie zawracają sobie głowy ich aktualizacjami.

Jego zdaniem problem jest jeszcze bardziej widoczny, w przypadku bibliotek kompresji zlib i JPEG.

Co ciekawe, Charlie Miller jeszcze podczas zeszłorocznej konferencji Black Hat przekonywał o konieczności częstej aktualizacji otwartych bibliotek wykorzystywanych w komercyjnym oprogramowaniu - napisał portal IDG.

Źródło: IDG