Microsoft знала о критической уязвимости в Internet Explorer за 2 месяца до выпуска исправления

Исследователь безопасности Ерик Романг (Eric Romang), который первым опубликовал в свободном доступе информацию о критической уязвимости в браузере Microsoft Internet Explorer (CVE-2012-4969) , заявляет, что производитель мог знать о ней за несколько месяцев до появления исправления .

Эта уязвимость была устранена в пятницу в рамках внеочередного бюллетеня безопасности. Впервые о ней стало известной 14 сентября, когда Романг обнаружил эксплоит на сервере, находящимся под контролем участников хакерской группы Nitro.

В уведомлении MS12-063 софтверный гигант благодарит анонимного исследователя, который работает на Zero Day Initiative (ZDI). При этом в корпорации не отмечают, когда именно ZDI сообщила о наличии уязвимости, об этом станет известно после публикации официального уведомления о ней от компании. Согласно перечню запланированных ZDI уведомлений, последняя уязвимость, которая была предоставлена компании анонимным пользователем, и которая имеет CVSS рейтинг выше 7,5, появилась 24 июля этого года, то есть два месяца назад.

Таким образом, Microsoft несколько раз имела возможность устранить эту уязвимость в рамках регулярной публикации уведомлений безопасности, но сделала это только после того, как в открытом доступе оказалось несколько вариантов эксплоитов к ней.