Критический месяц

За июль опубликована 31 ошибка в браузерах

После публикации ошибок Мур не закрыл блог, но обещал и в дальнейшем публиковать информацию о безопасности браузеров

Браузер — ключевой элемент многих современных информационных систем. Его используют как для чтения информации, так и для покупок в электронных магазинах, проведения электронных платежей, администрирования информационных систем и многого другого. Именно поэтому ошибки в этих программах — одни из наиболее опасных, они позволяют злоумышленнику получить контроль над удаленным компьютером или выманить у пользователя ценные сведения, или выполнить незаконные действия от чужого имени. К сожалению, браузеры сейчас достаточно сложны и имеют множество компонент: динамические стили, JavaScript, ActiveX, мультимедийные форматы файлов и многое другое. Каждый компонент имеет собственную защиту и собственные ошибки, а в целом браузер оказывается защищен как самое слабое звено. Показать, что современные браузеры имеют слабую защиту решил специалист по информационной безопасности, назвавшийся именем HD Moore.

Имя этого разработчика тесно связано со средой для создания эксплойтов Metasploit. Однако он же совместно с другими программистами разработал четыре программы Hamachi, CSS-Die, DOM-Hanoi и MangleMe, предназначенные для различных компонент браузера. Они были разработаны совместно с тремя другими исследователями — Метом Мерфи, Авив Раффом и Тэрри Золлером. В процессе отладки утилит было найдено несколько ошибок в браузерах, которыми исследователи решили поделиться со всеми остальными.

В результате 2 июля Мур начал новый блог «любителей браузеров», в котором обещал в течение месяца публиковать ежедневно по одной ошибке, найденной им в различных браузерах. Эту акцию он назвал «Месячник ошибок в браузерах». Причем сообщение сопровождалось тестовым примером, который выводил программу из строя. Мур утверждал, что связывался с производителями браузеров и передавал им сообщения о найденных дефектах. Это подтверждается тем, что опубликованные дефекты для Firefox на момент их разглашения уже были исправлены.

Всего за месяц Мур опубликовал 31 ошибку. Основная их масса (25) была найдена в Internet Explorer. Причем 21 уязвимое место оказалось связано с работой технологии ActiveX. Кроме того, было обнародовано по две ошибки для Firefox и Safari, а также по одной для Opera и Konqueror. Ошибки для Firefox, как уже упоминалось, к моменту публикации были исправлены, чего нельзя сказать об остальных браузерах. На упрек в «несвежести» эксплойта для Firefox Мур отвечал, что его задача — показать уязвимость браузеров, а не искать актуальные ошибки. Если же разработчики оперативно латают дыры, то это лишь говорит в их пользу.

Качественно картину уязвимости браузеров можно понять и по базе данных компании Secunia, которая сохраняет всю информацию об опубликованных дырах. Характерной особенностью ошибок в браузерах является то, что практически все их можно использовать удаленно.

Треть ошибок в популярных браузерах, таких как IE или Firefox, являются критическими с возможностью получения полного доступа к системе, на которой работает браузер (см. таблицу).

Производители оперативно устраняют ошибки — существенно отличается лишь Safari, у которого из пяти исправлено только две. Впрочем, у браузеров, не работающих под Windows, таких как Konqueror и Safari, ошибок найдено было очень мало — не больше десятка, поэтому данные по ним нельзя назвать репрезентативными.

Варианты атаки