Разработчик Google вновь «слил» описание уязвимости нулевого дня

image

Теги: Microsoft, Google, уязвимость, ipad 2

ИБ-эксперт обратился к коллегам с просьбой придумать способ ее эксплуатирования.

Тэвис Орманди (Tavis Ormandy), который является одним из разработчиков компании Google, опубликовал данные об уязвимости нулевого дня в ОС Windows. При этом ИБ-эксперт не уведомил Microsoft об обнаруженной бреши.

В списке рассылки Тэвис Орманди написал, что у него «нет свободного времени, чтобы разбираться в глупом коде Microsoft», из-за чего он не смог оформить сообщение с описанием уязвимости должным образом.

Таким образом, Орманди просто прислал в рассылку Full Disclosure фрагмент кода с «очевидным багом win32k!EPATHOBJ::pprFlattenRec». Первое письмо пришло 17 мая. В нем эксперт по ИБ обратился ко всем коллегам с призывом посмотреть код и подумать, как можно эксплуатировать данную уязвимость.

Через две недели, 2 июня, исследователь опубликовал уже готовый эксплоит, с помощью которого осуществляется эскалация привилегий в Windows:

Орманди утверждает, что злоумышленники уже используют эту уязвимость и сделали эксплоит еще раньше него, так что публикация информации в такой ситуации вполне оправдана.

Отметим, что это не первый такой случай. Так, три года назад Microsoft раскритиковала размещение описания уязвимости в открытом доступе. Тогда Орманди сообщил о бреше 5 июня, а уже 9 июня – опубликовал данные.


или введите имя

CAPTCHA
neolead
05-06-2013 14:36:11
У нас всё работает)))) проверили
0 |
28159
05-06-2013 18:47:26
пора Балмеру заняться членовредительством собственным индусам
0 |
06-06-2013 02:01:06
Йогам гвозди пофиг.
0 |