"Дыру" в Excel не удалось продать с аукциона EBay

Администрация онлайнового аукциона eBay сняла с торгов лот, в котором предлагалась информация об уязвимости в Microsoft Excel

Администрация онлайнового аукциона eBay сняла с торгов лот, в котором предлагалась информация об уязвимости в Microsoft Excel, на основании его незаконности и жалобы со стороны Microsoft.

Предложенная уязвимость, по заявлению анонимного продавца, позволяла захватить контроль над компьютером при открытии на нем специально сконструированного файла формата xls. Специалисты Microsoft Security Response Center (MSRC), которые пожаловались на лот руководству аукциона, приняли сигнал и начали работать над поиском «дыры».

«Обычно, исследование можно продавать как продукт. Однако, если оно нарушает закон или право на интеллектуальную собственность, это делать запрещено», — сказала представитель eBay Катерина Ингланд (Catherine England). Приобретение уязвимостей — неоднозначная практика, которая применяется как минимум двумя компаниями ИТ-безопасности: iDefense и TippingPoint (3Com). Однако эти компании приобретают «дыры» в целях защиты пользователей.

Человек, разместивший лот, назвал себя fearwall и описал уязвимость вместе с нападками на корпорацию. «Поскольку я не смог найти никакого применения этого побочного продукта у разработчиков Microsoft, он доступен для вас по цене от 1 цента — честной цене для любого продукта Microsoft», — заявил он.

Использование аукционов в целях улучшения безопасности и повышения доходности компаний ИТ-безопасности уже не первый раз обсуждалось в сообществе специалистов. Два года назад эксперт Грэг Хоглунд (Greg Hoglund) зарезервировал домен zerobay.com для такого аукциона, но затем отказался от затеи, сочтя ее сомнительной с точки зрения закона. «Я обсудил идею с многими людьми в сообществе», — сообщил Хоглунд, который сейчас работает исполнительным директором компании исследования кода HBGary. Проблема рынка уязвимостей — в плохой оплате по сравнению с проделанной работой. Эксперты, чье время стоит не менее $100 в час, могут проводить в поиске одной уязвимости недели, сказал Хоглунд. Компании же считают, что информация об уязвимостях должна предоставляться им бесплатно. И, по его мнению, это нечестно, потому что это высококвалифицированная работа.

CNews.ru


или введите имя

CAPTCHA