Свежевыпущенный IE8 взломан за несколько минут

Вчера, в 19:00 по Московскому времени, Microsoft предоставила для скачивания новую версию Internet Explorer, IE8. На конференции Mix09, которая с 18 по 20 марта проходит в Лас-Вегасе, Невада, Microsoft подробно рассказала об Internet Explorer 8, подчеркнув множество усовершенствований, внесённых в новую версию браузера по сравнению с предыдущими версиями. Крупнейший производитель программного обеспечения, похоже, наконец-то начал учитывать нужды пользователей. "Клиенты ясно дали понять, чего они хотят от веб-браузера ? безопасность, скорость и удобство использования," ? сказал Стив Баллмер, генеральный директор Microsoft, в своём заявлении. ? "Наш браузер Internet Explorer 8 предоставляет пользователям быстрый доступ к необходимой информации и обеспечивает защиту, с которой не может сравниться никакой другой браузер."

У нового браузера всё ещё есть проблемы с дополнительными плагинами и JavaScript, но он несколько быстрее Mozilla Firefox, имеет улучшенный поиск, более удобную помощь и функцию WebSlices. В IE8 включена функция безопасности просмотра InPrivate, которая позволяет не оставлять на компьютере информации о том, какие страницы открывал пользователь, и не даёт возможности сторонним веб-сайтам отслеживать перемещения пользователя по сети. Кроме того, в IE8 используется адресная строка Smart Address, аналогичная адресной строке Firefox. Microsoft похвасталась сверхсовместимостью нового браузера: в IE8 есть стандартный режим, и режим IE7, специально предназначенный для просмотра сайтов, оптимизированных под предыдущую версию этого браузера, причём возможно автоматическое переключение между этими режимами.
Версия IE8, доступная сейчас для скачивания с сайта Microsoft, поддерживает 25 языков и совместима с операционными системами Windows Server, Windows Vista и Windows XP (32бит и 64бит).

Несмотря на то, что корпорация Microsoft официально заявила о высокой степени безопасности нового браузера Internet Explorer 8, он вчера в рамках конкурса PWN2OWN был взломан немецким студентом, который получил за взлом IE8 $5000 и ноутбук Sony Vaio, на котором производился взлом. Студент по имени Нильс в течение пяти минут (!) взломал систему безопасности ноутбука, используя для проникновения ранее не выявленные уязвимости нового браузера. На ноутбуке была установлена последняя операционная система Windows 7, предназначенная "для внутренних потребностей Microsoft".

По мнению некоторых аналитиков, обнаружение серьёзной уязвимости нового браузера в течение первых часов после выпуска очень важно для Microsoft, так как даёт возможность производителю оперативно устранить дыру в безопасности. Администрация PWN2OWN передала подробную информацию о проведённом взломе в компанию Microsoft, и Microsoft сразу же начала работать над исправлением этой ошибки. Представители Microsoft тут же связались со студентом, взломавшим "самый безопасный браузер", и через некоторое время воспроизвели его действия в своей лаборатории.

Тем не менее, Microsoft отказалась официально подтвердить наличие уязвимости, использовав стандартную обтекаемую формулировку о "принимаемых мерах защиты клиентов". Кроме того, Microsoft не ответила на вопрос, будет ли возможно использование обнаруженной уязвимости в других операционных системах, или она приводит к катастрофическим последствиям только под Windows 7. Производитель заявил, что версия IE8, использованная на PWN2OWN, не совпадает с версией IE8, выложенной для скачивания. Однако это не является ответом на вопрос, есть ли обнаруженная уязвимость в версии, в настоящее время доступной для скачивания.
Вчера Нильс взломал не только IE8. Помимо браузера Microsoft, он с помощью заранее написанного кода за очень короткое время вскрыл Apple Safari и Mozilla Firefox. Всего за свои труды Нильс получил $15000 наличными и ноутбук Sony. По словам организаторов PWN2OWN, это нечто невероятное. В прошлом году на PWN2OWN было открыто всего две более-менее серьёзных уязвимости, а в этом году успешной атаке подверглись три очень популярных браузера, всего было выявлено четыре критических ошибки. Четвёртая ошибка была показана Чарли Миллером (Charlie Miller), призёром PWN2OWN 2008, в браузере Safari. Используя эту ошибку, Миллер взломал браузер буквально за несколько секунд.

Детали обнаруженных уязвимостей отправлены производителям и будут раскрыты общественности после того, как производители выпустят соответствующие патчи. Сегодня на PWN2OWN будут плотно заниматься браузерами от Microsoft, Mozilla, Apple и Google Inc., а завтра наступит черёд мобильных операционных систем и браузеров, используемых в смартфонах: Windows Mobile, Google Android, Symbian и ОС, используемых в iPhone и в BlackBerry.

Комментарии

Оперу даже не ломали. Однако же.
Впрочем, кода такого объема без ошибок не бывает в природе. Но того факта, что IE8 = решето, не отрицаю.