Устранение уязвимости JASBUG в Active Directory заняло у Microsoft один год

image

Теги: Microsoft, уязвимость, JASBUG

Обнаруживший брешь исследователь уверен, что столь длительный период выпуска исправления вполне оправдан.

Во вторник, 10 февраля, разработчики компании Microsoft выпустили исправления безопасности для продуктов компании, в том числе устранили три бреши с критическим рейтингом опасности. При этом одна из уязвимостей ( CVE-2015-0008 ) была выявлена экспертами JAS Global Advisors еще в прошлом году.

Как пишет исследователь Джефф Шмидт (Jeff Schmidt), несмотря на то, что брешь присутствовала в компонентах ядра операционной системы Windows с 2000 года, о случаях ее эксплуатации ничего неизвестно. Вместе с тем, сам Шмидт обнаружил названную JASBUG уязвимость и сообщил о ней представителям Microsoft еще в январе 2014 года.

Исследователь утверждает, что срок работы над исправлением в один год является приемлемым, поскольку ошибка представляет собой MiTM-атаку в Active Directory, возникшую в результате неправильной реализации компонента. Разработчикам необходимо было наладить корректную работу клиентских систем, которые неправильно проводили проверку аутентичности сервера.

Напомним, что недавно компания Google была  раскритикована со стороны Microsoft из-за нескольких случаев преждевременного раскрытия технических подробностей об уязвимостях в Windiows. Администраторы Project Zero, в свою очередь, настаивают на том, что их система работает в автоматическом режиме и все имеющиеся данные публикуются в открытом доступе спустя ровно 90 дней с момента извещения разработчика. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus