Uwzięli się na Windows Genuine Advantage?
- 01.08.2005, godz. 09:15
Koncern Microsoft potwierdził krążące po Sieci informacje, dotyczące złamania zabezpieczeń narzędzia do weryfikacji legalności oprogramowania fimy, Windows Genuine Advantage 1.0.
Wiadomość tej treści pojawiła się w blogu BoingBoing - czytamy w niej, że mechanizm WGA można obejść za pomocą komendy JavaScript. Rozkaz ten miałby mieć następującą postać: javascript:void(window.g_sDisableWGACheck='all', - obejście zabezpieczeń polega na na wpisaniu go w polu adresów przeglądarki internetowej i naciśnięciu klawisza Enter.
Dzięki zastosowaniu powyższego sposobu, cracker wykorzystuje lukę w funkcji programu umożliwiającej powtórne pobranie pliku (np. aktualizacji), wobec czego nie musi nigdy weryfikować się jako użytkownik oryginalnego oprogramowania - poinformował koncern. Jednocześnie zapowiedziano, że dziura zostanie załatana w następnej wersji narzędzia.
O możliwości ominięcia systemu weryfikacji informowaliśmy już w artykule " Microsoft obchodzi zabezpieczenia... Microsoftu" - chodziło o narzędzie o nazwie GenuineCheck, opracowane jako alternatywa dla Windows Genuine Advantage. Przypomnijmy, że do uruchomienia WGA niezbędna jest przeglądarka internetowa z obsługą ActiveX - Microsoft musiał więc stworzyć program weryfikujący legalność, z którego będą mogli skorzystać użytkownicy starszych produktów koncernu. Jak dowiódł niezależny badacz Debasis Mohanty, wystarczy pobrać ze strony koncernu program GenuineCheck i uruchomić go zamiast inicjacji zwykłego testu WGA, a na koniec podać w na stronie wygenerowany przez niego kod.
Program Windows Genuine Advantage został uruchomiony w minioną środę (pisaliśmy o tym w tekście "Uaktualnienia Windows - od dziś nie dla piratów").
Więcej informacji na stronie BoingBoing.