Техасская компания TippingPoint начала публиковать отчёты об уязвимостях в программных продуктах, обнаруженных в рамках её программы Zero Day Initiative (ZDI) и не устранённых разработчиками в течение по крайней мере 6 месяцев.
Программе ZDI уже пять лет, и она хорошо известна проведением хакерских состязаний Pwn2Own, в ходе которых осуществляется взлом популярных приложений за счёт неизвестных ранее уязвимостей. Через несколько недель состоится очередной конкурс, участники которого будут пробивать защиту браузеров и смартфонов.
В начале августа прошлого года ZDI заявила о том, что у неё накопилось 31 уязвимость высокой степени риска, о каждой из которых уже более года как были поставлены в известность разработчики соответствующих программных продуктов, но которые так и не были устранены. С целью как-то расшевелить разработчиков ZDI объявила о введении полугодового моратория на разглашение информации об этих и последующих уязвимостях: если за полгода после информирования разработчика о наличии в его программе уязвимости тот не выпустит "заплатку" или не сможет дать разумное объяснение её отсутствию, ZDI публично обнародует описание уязвимости, а также советы по её обходу пользователями.
Несколько дней назад как раз исполнилось полгода с момента этого анонса. Как следствие, вчера руководитель отдела TippingPoint по исследованиям в области безопасности Аарон Портной (Aaron Portnoy) опубликовал информацию о 22 серьёзных уязвимостях, из которых 9 приходится на IBM, 5 на Microsoft и 4 — на Hewlett-Packard. Ещё по одной уязвимости приходится на программное обеспечение Novell, SCO, CA Technologies и EMC.
В случае с IBM для каждой из уязвимостей также приводится отчёт о переписке ZDI с разработчиком, начиная с момента уведомления о наличии уязвимости. Из этих отчётов следует, что многим уязвимостям уже более 2,5 лет; IBM при этом уверяет, что не может воспроизвести ошибку, несмотря на предоставленные ZDI исходники эксплойтов-концептов.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале