Fragen? Antworten! Siehe auch: Alternativlos
Das Problem, um das es geht, ist dass man memprotect als Orakel benutzen kann, um ASLR auszuhebeln. ASLR heißt, dass Code nicht an vorhersagbare Stellen im Adressraum geladen wird, damit man in einem Exploit nicht einfach zu der Stelle springen kann, die tut, was man will. ASLR ist einer der Hauptgründe, wieso stabile Exploits heutzutage so teuer geworden sind.
ZDI hat dieses Problem gefunden, Beispiel-Code gemacht (!), und mit dem bei Microsoft sogar einen Award abgeräumt, oder ein Kopfgeld, wie immer man das nennen will.
Und jetzt droppen sie den 0day, weil Microsoft ihnen zu verstehen gegeben hat, dass sie das Problem nicht fixen wollen.
Was man dazu wissen muss, ist dass Microsofts Verständnis von solchen Bug Bounties ist, dass sie dann die Details "vom Markt genommen haben". Ich denke, dass Microsoft denen das Geld gegeben hat, in der Gewissheit, dass das dann nicht später veröffentlicht wird. Das könnte also noch Stress geben.
Wieso will denn Microsoft das Problem nicht fixen? Weil memprotect ihr Hack ist, um use-after-free-Bugs in IE zu fixen. Das können sie also jetzt nicht abschalten, um ASLR wieder ordentlich zu kriegen, ohne dass sie auch die ganzen use-after-free-Bugs wieder reaktivieren. Und von denen gab es anscheinend eine ganze Menge, denn sonst würde Microsoft das ja jetzt abschalten und fertig ist die Laube.
Ich beobachte sowas ja immer mit einer gewissen Häme aus der Ferne, wenn ein Security-Feature an einem Security-Problem Schuld ist. Das ist jetzt jedenfalls eine ganz beschissene Situation für alle Involvierten.
Stellt sich natürlich noch die Frage, ob man nicht memprotect so umbasteln kann, dass es nicht mehr als Orakel missbrauchbar ist. Ich vermute mal nicht, denn sonst hätten sie das wohl getan.
Ich bin ja kein Freund von so Exploit-Händlern, aber vor ZDI muss man an der Stelle echt den Hut ziehen. Die scheißen echt jedem in den Vorgarten, der seine Bugs nicht in akzeptablem Zeitrahmen fixt. Sogar ihrem aktuellen Eigentümer HP.