Тэхаская кампанія TippingPoint пачаткі публікаваць справаздачы аб уразлівасцях у праграмных прадуктах, выяўленых у рамках яе праграмы Zero Day Initiative (ZDI) і не ўхіленых распрацоўнікамі на працягу прынамсі 6 месяцаў. За ўчорашні дзень расчынена 22 сур'ёзных уразлівасці ў прыкладаннях 7 кампаній, уключаючы IBM, Hewlett-Packard і Microsoft.
Праграме ZDI ужо пяць гадоў, і яна добра вядомая правядзеннем хакерскіх змаганняў Pwn2Own, падчас якіх ажыццяўляецца ўзлом папулярных прыкладанняў за рахунак невядомых раней уразлівасцяў. Праз некалькі тыдняў адбудзецца чарговы конкурс, удзельнікі якога будуць прабіваць абарону браўзэраў і смартфонаў. У пачатку жніўня мінулага гады ZDI заявіла аб тым, што ў яе назапасілася 31 уразлівасць высокай ступені рызыкі, аб кожнай з якіх ужо больш гады як былі пастаўленыя ў вядомасць распрацоўнікі якія адпавядаюць праграмных прадуктаў, але якія так і не былі ўхіленыя. З мэтай як-то разварушыць распрацоўнікаў ZDI абвясціла аб уводзінах паўгадавога мараторыя на разгалашэнне інфармацыі аб гэтых і наступных уразлівасцях: калі за паўгода пасля інфармавання распрацоўніка аб наяўнасці ў яго праграме ўразлівасці той не выпусціць "латку" або не зможа даць разумнае тлумачэнне яе адсутнасці, ZDI публічна апублікуе апісанне ўразлівасці, а таксама рады па ёй абыходу карыстачамі. Некалькі дзён назад як раз выканалася паўгода з моманту гэтага анонсу. Як следства, учора кіраўнік аддзела TippingPoint па даследаваннях у вобласці бяспекі Аарон Кравец (Aaron Portnoy) апублікаваў інфармацыю аб 22 сур'ёзных уразлівасцях, з якіх 9 прыходзіцца на IBM, 5 на Microsoft і 4 — на Hewlett-Packard. Яшчэ па адной уразлівасці прыходзіцца на праграмнае забеспячэнне Novell, SCO, CA Technologies і EMC. У выпадку з IBM для кожнай з уразлівасцяў таксама прыводзіцца справаздача аб перапісцы ZDI з распрацоўнікам, пачынальна з моманту апавяшчэння аб наяўнасці ўразлівасці. З гэтых справаздач варта, што шматлікім уразлівасцям ужо больш 2,5 гадоў; IBM пры гэтым запэўнівае, што не можа прайграць памылку, нягледзячы на прадстаўленыя ZDI зыходнікі эксплойтаў-канцэптаў.
TippingPoint падвяла вынікі Zero Day Initiative
9 лютага 2011
Каментароў (0)