Miller nie ujawni znalezionych dziur

Charlie Miller, który po raz kolejny wygrał konkurs Pwn2Own, a wcześniej zapowiedział ujawnienie 20 dziur w produktach Apple'a, stwierdził, że nie przekaże informacji o dziurach. Zamiast tego pokaże Apple'owi i innym firmom, w jaki sposób mogą znaleźć luki w swoich produktach.

Już wcześniej Miller, który znalazł liczne niedociągnięcia używając techniki fuzzingu, mówił, że jest zdziwiony tym, iż tak łatwo na nie trafił. Stwierdził, że w produktach dużych firm, które zatrudniają olbrzymią liczbę ludzi w swoich wydziałach ds. bezpieczeństwa nie powinno być dziur, które jeden człowiek jest w stanie tak łatwo znaleźć. Tymczasem Miller użył zaledwie kilku linijek kodu dostarczającego do aplikacji błędnych danych, dzięki czemu doprowadzał do nieprawidłowości w ich działaniu, pozwalających na stwierdzenie, gdzie występują nieprawidłowości. W ten sposób szybko trafił na 20 luk w produktach Apple'a oraz luki w microsoftowym PowerPoincie, produkowanym przez Adobe Readerze oraz opensource'owym OpenOffice.

Sprawa jest o tyle bulwersująca, że skądinąd wiadomo, iż koncerny korzystają z fuzzingu. Na pewno używał go Microsoft podczas całego cyklu rozwojowego swoich produktów (Security Development Lifecycle).

Ludzie będą mnie krytykowali za to, że nie przekażę producentom informacji o błędach. Ale uważam, że bardziej rozsądnym jest im tego nie mówić. Mogę im powiedzieć, jak znaleźć luki. To może ich skłonić do działania - stwierdził Miller.

Jedną ze znalezionych luk wykorzystał podczas ataku na Safari w czasie konkursu Pwn2Own.

Charlie Miller fuzzing dziury luki atak Apple Adobe Microsoft OpenOffice