TippingPoint подвела итоги Zero Day Initiative

TippingPoint подвела итоги Zero Day Initiative

Техасская компания TippingPoint начала публиковать отчёты об уязвимостях в программных продуктах, обнаруженных в рамках её программы Zero Day Initiative (ZDI) и не устранённых разработчиками в течение по крайней мере 6 месяцев.

Техасская компания TippingPoint начала публиковать отчёты об уязвимостях в программных продуктах, обнаруженных в рамках её программы Zero Day Initiative (ZDI) и не устранённых разработчиками в течение по крайней мере 6 месяцев. За вчерашний день раскрыто 22 серьёзных уязвимости в приложениях 7 компаний, включая IBM, Hewlett-Packard и Microsoft.

Программе ZDI уже пять лет, и она хорошо известна проведением хакерских состязаний Pwn2Own, в ходе которых осуществляется взлом популярных приложений за счёт неизвестных ранее уязвимостей. Через несколько недель состоится очередной конкурс, участники которого будут пробивать защиту браузеров и смартфонов.

В начале августа прошлого года ZDI заявила о том, что у неё накопилось 31 уязвимость высокой степени риска, о каждой из которых уже более года как были поставлены в известность разработчики соответствующих программных продуктов, но которые так и не были устранены. С целью как-то расшевелить разработчиков ZDI объявила о введении полугодового моратория на разглашение информации об этих и последующих уязвимостях: если за полгода после информирования разработчика о наличии в его программе уязвимости тот не выпустит "заплатку" или не сможет дать разумное объяснение её отсутствию, ZDI публично обнародует описание уязвимости, а также советы по её обходу пользователями.

Несколько дней назад как раз исполнилось полгода с момента этого анонса. Как следствие, вчера руководитель отдела TippingPoint по исследованиям в области безопасности Аарон Портной (Aaron Portnoy) опубликовал информацию о 22 серьёзных уязвимостях, из которых 9 приходится на IBM, 5 на Microsoft и 4 — на Hewlett-Packard. Ещё по одной уязвимости приходится на программное обеспечение Novell, SCO, CA Technologies и EMC.

В случае с IBM для каждой из уязвимостей также приводится отчёт о переписке ZDI с разработчиком, начиная с момента уведомления о наличии уязвимости. Из этих отчётов следует, что многим уязвимостям уже более 2,5 лет; IBM при этом уверяет, что не может воспроизвести ошибку, несмотря на предоставленные ZDI исходники эксплойтов-концептов.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь