Корпорация Microsoft заявила, что никакие меры безопасности не способны "отразить все мыслимые атаки" и что в целом уровень безопасности Windows 7 остается на высоком уровне. Это стало ответом на результаты хакерского конкурса Pwn2Own, победители которого, два специалиста по безопасности, успешно воспользовались уязвимостями в Internet Explorer и Firefox, запущенными в среде Windows 7. Они и выиграли главный приз в 10 000 долларов.
Пит Липейдж, менеджер по продукции из подразделения разработки Internet Explorer, высказался в защиту функций DEP (предотвращение исполнения данных) и ASLR (рандомизация адресного пространства), которыми воспользовались победители конкурса. Он упомянул также защищенный режим Internet Explorer. "Технологии глубокой защиты не предназначены для отражения всех мыслимых атак, - сказал он. - У них другая цель - существенно затруднить эксплуатацию уязвимости".
Технология DEP впервые появилась в 2004 году в Windows XP SP2, ее основная задача - предотвращать выполнение вредоносного кода в области памяти, не предназначенной для выполнения. Функция ASLR появилась в Windows Vista три года назад, она в случайном порядке распределяет положение ключевых областей памяти, в частности стэка, чтобы хакерам было сложнее предсказать, где произойдет выполнение их кода. Защищенный режим - это так называемая "песочница" для Internet Explorer, когда браузер запускается с ограниченными правами, что усложняет хакеру задачу модифицировать данные системы вне браузера. Все эти средства действуют и в Windows 7.
"Методы глубокой защиты, включая DEP и ASLR, остаются очень эффективными механизмами защиты, - заявил Липейдж. - А если они используются вместе, то их вообще сложно обойти".
Еще один победитель Pwn2Own, Чарли Миллер, сказал "Никакие улучшения безопасности не смогут помешать исследователям выигрывать (такие конкурсы)... По-прежнему невозможно быть в полной безопасности даже на компьютере со всеми обновлениями".
Источник: astera
|
