Jedynie nieliczne programy korzystają z blokady wykonywania danych (Data Execution Prevention, DEP) i rozproszenia danych w pamięci (Adress Space Layout Randomisation, ASLR) w Windows, aby w ten sposób neutralizować potencjalne ataki z wykorzystaniem słabych punktów
Do takich wniosków dochodzi specjalizująca się w zabezpieczeniach firma Secunia w analizie 1. najpopularniejszych programów, takich jak przeglądarki, odtwarzacze multimediów i programy biurowe.
DEP uniemożliwia napastnikowi wykonywanie kodu zapisanego w wyniku przepełnienia bufora na stosie albo w pamięci sterty - samego przepełnienia bufora nie jest ono jednak w stanie zatrzymać. Napastnik nie musi jednak od razu uruchamiać własnego kodu. Dzięki manipulacji adresu zwrotnego może on przeskoczyć do już załadowanego przez program segmentu. Zwykle intruzi usiłują też wymusić skok do określonych funkcji biblioteki C (atak typu Return-into-libc).
Jako że funkcje są zawsze ładowane w tym samym miejscu, napastnik wie, do którego miejsca jego kod musi "przeskoczyć". Takie przewidywania ma z kolei utrudniać ASLR. Windows 7 i Vista wybierają dla załadowanego kodu, powiązanych z nim ładowanych dynamicznie bibliotek (DLL), stosu i pamięci sterty przypadkowe adresy. To jednak można ominąć, jednak dzięki mechanizmowi ASLR exploity mogą nie zadziałać - a często napastnik ma tylko jedną próbę.
W systemie Windows to program za pośrednictwem odpowiednich flag decyduje, czy chce używać DEP, czy ASLR. O ile większość aplikacji Microsoftu często korzysta z tych funkcji, o tyle według Secunii programy innych producentów najczęściej w ogóle ich nie używają, albo robią to częściowo lub z błędami. Na przykład przeglądarki Firefox, Opera i Safari obsługują DEP, ale już nie ASLR. Jedynie Chrome korzysta z obu tych mechanizmów.
Odtwarzacze multimedialne, takie jak Winamp, RealPlayer, QuickTime i VLC, nie korzystają w ogóle ze wspomnianych metod zabezpieczeń. Wprawdzie w połowie 200. roku koncern Apple chwalił się, że w QuickTime'ie zaimplementowano mechanizm Exploit Prevention (XPM) na bazie ASLR, ale po dokładniejszej analizie okazuje się, że dla różnych bibliotek i narzędzi pakietu QuickTime ASLR jest w dalszym ciągu nieaktywny.
Według Secunii niewystarczające wykorzystanie blokad może być dla autorów wirusów kolejnym motywem, dla którego coraz częściej interesują się oni programami producentów innych niż Microsoft.
wydanie internetowe www.heise-online.pl
