TippingPoint подвела итоги Zero Day Initiative

уязвимост
TippingPoint подвела итоги Zero Day Initiative
уязвимост

Техасская компания TippingPoint начала публиковать отчёты об уязвимостях в программных продуктах, обнаруженных в рамках её программы Zero Day Initiative (ZDI) и не устранённых разработчиками в течение по крайней мере 6 месяцев.

Техасская компания TippingPoint начала публиковать отчёты об уязвимостях в программных продуктах, обнаруженных в рамках её программы Zero Day Initiative (ZDI) и не устранённых разработчиками в течение по крайней мере 6 месяцев. За вчерашний день раскрыто 22 серьёзных уязвимости в приложениях 7 компаний, включая IBM, Hewlett-Packard и Microsoft.

Программе ZDI уже пять лет, и она хорошо известна проведением хакерских состязаний Pwn2Own, в ходе которых осуществляется взлом популярных приложений за счёт неизвестных ранее уязвимостей. Через несколько недель состоится очередной конкурс, участники которого будут пробивать защиту браузеров и смартфонов.

В начале августа прошлого года ZDI заявила о том, что у неё накопилось 31 уязвимость высокой степени риска, о каждой из которых уже более года как были поставлены в известность разработчики соответствующих программных продуктов, но которые так и не были устранены. С целью как-то расшевелить разработчиков ZDI объявила о введении полугодового моратория на разглашение информации об этих и последующих уязвимостях: если за полгода после информирования разработчика о наличии в его программе уязвимости тот не выпустит "заплатку" или не сможет дать разумное объяснение её отсутствию, ZDI публично обнародует описание уязвимости, а также советы по её обходу пользователями.

Несколько дней назад как раз исполнилось полгода с момента этого анонса. Как следствие, вчера руководитель отдела TippingPoint по исследованиям в области безопасности Аарон Портной (Aaron Portnoy) опубликовал информацию о 22 серьёзных уязвимостях, из которых 9 приходится на IBM, 5 на Microsoft и 4 — на Hewlett-Packard. Ещё по одной уязвимости приходится на программное обеспечение Novell, SCO, CA Technologies и EMC.

В случае с IBM для каждой из уязвимостей также приводится отчёт о переписке ZDI с разработчиком, начиная с момента уведомления о наличии уязвимости. Из этих отчётов следует, что многим уязвимостям уже более 2,5 лет; IBM при этом уверяет, что не может воспроизвести ошибку, несмотря на предоставленные ZDI исходники эксплойтов-концептов.

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!

Новости по теме

За кулисами кибербезопасности: что скрывают Fortinet, JetBrains и Microsoft?

Хакеры в вашей гостиной: 90 000 телевизоров LG стали новой мишенью для взлома

BatBadBut: ошибка в Rust позволяет захватить компьютер без вашего ведома

CVE-2024-20720: покупатели интернет-магазинов на Magento, берегите свои карточки

Брешь в YubiKey Manager или как Microsoft Edge спасает пользователей от взлома

Сканирующие ботнеты – новый тренд в киберпреступности

Ваш Intel в безопасности? Microsoft подсказывает, как защититься от уязвимости Spectre

Telegram устранил 0day, используемый для удаленного запуска кода

Обновите Netcat CMS: хакеры могут создавать учетные записи админов