Som digi.no meldte i forrige uke, greide deltakere under sikkerhetskonferansen CanSecWest å oppdage og utnytte sårbarheter i både i de nyeste versjonene av Safari, Internet Explorer og Firefox på til dels svært kort tid.
I et intervju med Zero Day-bloggen til ZDNet, forteller sikkerhetseksperten og hackeren Charlie Miller, at det å finne fram til en sårbarhet, bare utgjør halvparten av ligningen. Sårbarhetene må også kunne utnyttes, og der er det stor forskjell på de ulike nettleserne og operativsystemet de kjører på.
Det var Miller som greide å bryte seg inn på en fullt oppdatert Macbook via Safari.
Safari røk først under konkurransene som ble arrangert i forbindelse med CanSecWest. Dette var ventet, og Miller valgte å angripe nettopp Safari fordi han forventet at det ville bli enkelt.
- Safari er enklere å utnytte på Mac enn på Windows. Du slipper å hoppe gjennom tønnebånd og håndtere alle midlene mot utnyttelse som du finner i Windows. Det handler mer om operativsystemet enn om programmet man sikter mot. Firefox på Mac og ganske enkel også. Det underliggende operativsystemet har ikke ting innebygd for å forhindre utnyttelse, sier Miller.
Dette strider mot den allmenne oppfatningen om at Mac OS X er svært sikkert. Skadevare er så godt som fraværende til Apples operativsystem.
Miller mener at utnyttelsen av en sårbarhet i Firefox på Windows var det mest imponerende under konferansen, fulgt av knekkingen av Internet Explorer 8. Sin egen bragt vurderer han temmelig lavt.
- Av nettleserne fordelt på operativsystemer, er det vanskeligste målet Firefox på Windows. Med Firefox på Mac OS X kan du gjøre hva enn du vil. Det er ingenting i Mac OS som vil stoppe deg, sier Miller.
Ingen greide derimot å knytte Googles Chrome.
- Det er feil i Chrome, men de er veldig vanskelige å utnytte. Jeg har en Chrome-sårbarheter får hånden akkurat nå, men jeg vet ikke hvordan jeg skal utnytte den. De har en sandkasse-modell som det er vanskelig å komme seg ut av. Med Chrome er det en flere ting, sier Miller og nevner at man ikke kan utnytte det ubrukte minnet, beskyttelsene i Windows og Chromes sandkasse.
- Jeg kan ha denne feilen og jeg kan kanskje være i stand til å få kode til å kjøre, Men nå er du inne i en sandkasse hvor du ikke har lov til å gjøre noenting. Du trenger en annen feil for å komme ut av sandkassen, altså to feil som må kunne utnyttes. Det gjør det hele vanskeligere, sier Miller.
- Jeg tror at det du ser med Chrome og bruk av sandkasse, er dit alle må bevege seg. Det vil ta noen få år, men det er nødt til å bli standarden.
Les også:
- [30.07.2010] - Trygge Apple er en myte
- [26.03.2010] - Apple og Microsoft kan finne hullene selv
- [25.03.2010] Nettlesere faller etter tur
- [27.03.2009] Firefox-sårbarhet lekket på nettet
- [19.03.2009] Mac med Safari hacket på ti sekunder