Корпорация Microsoft прокомментировала результаты недавнего конкурса Pwn2Own, который завершился победой двух программистов, сумевших обойти защиту Windows 7 и IE8. "В последнее время появилась информация о том, что программисты сумели обойти такие защитные технологии, как DEP или ASLR. … Однако любые методы защиты выполнены не для того, чтобы навсегда прекратить какой-то вид атак, а значительно усложнить использование найденных уязвимостей", – рассказал западной общественности Пит ЛеПэйдж (Pete LePage), менеджер по продукции Internet Explorer, и добавил, что оба указанных механизма остаются крайне эффективными методами защиты. В результате Internet Explorer 8, работающий в Windows 7, оказывается очень защищенным даже при настройках по умолчанию. И это одна из причин, почему мы рекомендуем пользователям перейти на последние версии программного обеспечения."

В своем блоге представитель Microsoft сравнил защитные механизмы в Windows 7 и IE8 с костюмом пожарного. Согласно ему, костюм без дополнительных защитных элементов будет эффективен 1-2 часа, а более усиленные средства, возможно, и не спасут от огня, но, во всяком случае, предоставят защиту на более длительное время. Поэтому, применяя такие технологии как DEP или ALSR, Microsoft рассчитывает на то, что взлом системы обернется для хакеров тратой большего времени и ресурсов, в том числе, и финансовых, становясь неадекватными по масштабам по сравнению с результатом. Представленные варианты атаки были очень сложными и многоуровневыми, что делает их недоступными для реализации подавляющему большинству хакеров. Соответственно, взломщики потеряют интерес к этому занятию, поскольку не будут уверены в выгодах, которые принесет подобное предприятие.

Однако в Microsoft не собираются останавливаться на достигнутом и планируют сделать защиту в Internet Explorer 9 и Windows 8.более совершенной.

источник
31.03.10