Uwzięli się na Windows Genuine Advantage?

Koncern Microsoft potwierdził krążące po Sieci informacje, dotyczące złamania zabezpieczeń narzędzia do weryfikacji legalności oprogramowania fimy, Windows Genuine Advantage 1.0.

Wiadomość tej treści pojawiła się w blogu BoingBoing - czytamy w niej, że mechanizm WGA można obejść za pomocą komendy JavaScript. Rozkaz ten miałby mieć następującą postać: javascript:void(window.g_sDisableWGACheck='all', - obejście zabezpieczeń polega na na wpisaniu go w polu adresów przeglądarki internetowej i naciśnięciu klawisza Enter.

Dzięki zastosowaniu powyższego sposobu, cracker wykorzystuje lukę w funkcji programu umożliwiającej powtórne pobranie pliku (np. aktualizacji), wobec czego nie musi nigdy weryfikować się jako użytkownik oryginalnego oprogramowania - poinformował koncern. Jednocześnie zapowiedziano, że dziura zostanie załatana w następnej wersji narzędzia.

O możliwości ominięcia systemu weryfikacji informowaliśmy już w artykule " Microsoft obchodzi zabezpieczenia... Microsoftu" - chodziło o narzędzie o nazwie GenuineCheck, opracowane jako alternatywa dla Windows Genuine Advantage. Przypomnijmy, że do uruchomienia WGA niezbędna jest przeglądarka internetowa z obsługą ActiveX - Microsoft musiał więc stworzyć program weryfikujący legalność, z którego będą mogli skorzystać użytkownicy starszych produktów koncernu. Jak dowiódł niezależny badacz Debasis Mohanty, wystarczy pobrać ze strony koncernu program GenuineCheck i uruchomić go zamiast inicjacji zwykłego testu WGA, a na koniec podać w na stronie wygenerowany przez niego kod.

Program Windows Genuine Advantage został uruchomiony w minioną środę (pisaliśmy o tym w tekście "Uaktualnienia Windows - od dziś nie dla piratów").

Więcej informacji na stronie BoingBoing.