Chińczycy na tropie dziury w IE
Pracujący dla Google Michał Zalewski poinformował, że chińscy hakerzy najprawdopodobniej wpadli na trop krytycznego niezałatanego błędu w Internet Explorerze.
Błąd ten to jedna z około 100 dziur, które Zalewski znalazł w IE, Firefoksie, Chrome, Safari i Operze. Zalewski odkrył je za pomocą własnego narzędzia cross_fuzz. Później, jak mówi, przypadkowo ujawnił lokalizację tego narzędzia, więc mógł je pobrać każdy chętny. W związku z tym postanowił je udostępnić.
- Trzydziestego grudnia odebrałem zapytania z adresu IP zarejestrowanego w Chinach, które odpowiadały słowom kluczowym wymienionym w jednym z plików cross_fuzz - informuje Zalewski. Zapytanie dotyczyło pewnych funkcji w pliku mshtml.dll. W tym czasie nie było w sieci żadnych innych zapytań tego typu. - To bardzo silne wskazanie, że doszło do niezależnego odkrycia tego samego błędu w IE; inne wyjaśnienia następujących po sobie takich zapytań są bardzo mało prawdopodobne - mówi badacz.
Wbrew prośbom Microsoftu, który nie poprawił jeszcze wspomnianego błędu, Zalewski udostępnił cross_fuzz w niedzielę. Z jednej strony stało się tak dlatego, bo Chińczycy i tak wiedzą już o dziurze, a z drugiej - ponieważ specjaliści z Microsoftu nie ustosunkowali się do informacji, które im przekazał.
Pierwsze informacje o błędzie wraz z wcześniejszą wersją cross_fuzz Microsoft otrzymał już w lipcu. Z kolei 20 grudnia Zalewski poinformował firmę z Redmond, że zamierza udostępnić cross_fuzz. Dzień później skontaktowali się z nim przedstawiciele Microsoftu i poinformowali go, że brak odpowiedzi z ich strony wynikał z faktu, iż nie udało im się odtworzyć błędu, o którym informował ich pracownik Google.
Kilka dni później Zalewski otrzymał następującą wiadomość: "Zespół zajmujący się IE przeprowadził szeroko zakrojone testy, ale nie byliśmy w stanie doprowadzić do tych samych błędów, które Ty i Dave (z Microsoftu) jesteście w stanie odnaleźć. Nie wiem, dlaczego teraz udało się nam na nie trafić, ale zapewniamy, że nie było to celowe działanie".
Jerry Bryant, rzecznik prasowy Microsoft Security Response Center, oświadczył, że w lipcu ani eksperci Microsoftu, ani Google nie byli w stanie odtworzyć warunków, w jakich dochodziło do błędu. "Dopiero 21 grudnia nowa wersja narzędzia cross_fuzz dostarczyła nam informacji na temat błędu".
To nie pierwsze starcie, pomiędzy badaczami Google a Microsoftem. W połowie ubiegłego roku doszło do utarczki pomiędzy Tavisem Ormandy'm a koncernem z Redmond.
Mariusz Błoński
