Ezután jött mégis a fekete leves. A ZDI elküldte a ZDI-CAN-1658 azonosító alatt rögzített sebezhetőség részleteit és mellékelt egy .docx Proof-of-Concept filet, amellyel elő lehet idézni a hibát az érintett Polaris Viewer alkalmazásban. A Samsung biztonsági csapata - annak ellenére, hogy elolvasta a README.txt filet, amelyben le van írva, hogy mire jó a poc.docx - a melléklet újbóli elküldését kérte, arra hivatkoztva, hogy a file hibás. Itt aki már kicsit is foglalkozott IT securityvel valószínűleg erősen csapkodja a homlokát, hisz a poc.docx file naná, hogy hibás, pont ez a lényeg. A preparált docx file triggerel egy programozási hibát, amely puffer túlcsorduláshoz vezet és ennek kontrollálásával lehet kihasználni a problémát arra, hogy kódvégrehajtás történjen az Android rendszeren. A Samsung Security Team úgy tűnik ezt nem fogta fel elsőre, ami már önmagában szégyen egy ekkora cég biztonsági csapatától, de ezt még a továbbiakban fokozták. A ZDI ellenőrízte, hogy valóban jó PoC filet küldött el és fenn áll még a sebezhetőség, majd visszaírt a Samsungnak, hogy a file szándékosan hibás és arra tudják használni, hogy segítségével azonosítsák a sebezhető programkódot. A biztonsági csapat a dátumok tanúsága alapján másfél hetet molyolt a proof of concept dokumentummal, majd az MWR Labs által használt teljes exploitot kérte a ZDI-től. A ZDI jelezte, hogy nem követelnek meg teljes exploitot a Mobile Pwn2Own résztvevőktől.
Ezután hosszú szünet következett. A ZDI 2012. október 9-i válaszlevelét követően sokáig nem érkezett reakció a Samsungtól. A hibát nem javították, további kérdést nem tettek fel. 2013. március 25-én letelt a 180 nap türelmi idő és a sebezhetőség közzétételi szabályzat (Vulnerability Disclosure Policy) alapján a ZDI kiadhatta volna az információkat, mint továbbra is 0-day biztonsági hiba. A ZDI ezt nem tette meg, visszatartotta az advisory publikálását és továbbra is várt a Samsunggal való kommunikációra. Itt megint hosszú idő telt el és több mint 130 nappal később (azaz összesen már több mint 310 nappal később), 2013. augusztus 4-én jelezte a ZDI a Samsungnak, hogy augusztus végén most már kiadják a sebezhetőségről szóló részleteket, mint 0-day biztonsági hibajelentést. Samsung erre ismét érdeklődni kezdett és további részleteket, valamint időpontok egyeztetését kérte a sebezhetőséggel kapcsolatban. ZDI megküldte a timelinet és támogatást kért. A Samsung azt állította, hogy együttműködik a biztonsági csapattal a sebezhetőséggel kapcsolatos helyzetjelentés tisztázása érdekében. Ezután a ZDI értesítette ismét a biztonsági csapatot két email címen is a közelgő 0-day közzététellel kapcsolatban, de nem érkezett válasz.
Augusztus végén ezért a ZDI kiadta a biztonsági hibáról az értesítőt:
(0Day) (Mobile Pwn2Own) Polaris Viewer DOCX VML Shape Tag Remote Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-13-211/
Szerintem a Samsung ezért akár meg is érdemelne egy Pwnie díjat a Lamest Vendor Response kategóriában, ahogy Linus Torvalds és a Linux is megnyerte végül 2009-ben a folyamatos, "kiemelkedő" biztonsági hibakezeléseiknek köszönhetően...
- Hunger blogja
- A hozzászóláshoz be kell jelentkezni
- 1693 megtekintés
Hozzászólások
Most erre mit lehet írni: unlike.
- A hozzászóláshoz be kell jelentkezni
Unlike other huppers, Zahy speaks english very well.
- A hozzászóláshoz be kell jelentkezni
jagos, dislike
- A hozzászóláshoz be kell jelentkezni
Aki fejlesztett már Samsung okostelefonra (nem, négy aktivitit összekattingtatni az nem _samsungra_ fejlesztés), az nem lepődik meg azon, hogy egy területért felelős szakemberek milyen... "szakemberek".
- A hozzászóláshoz be kell jelentkezni