0-day уразливість в IE зіштовхнула Microsoft і Google
Днями дослідник у галузі безпеки компанії Google опублікував у мережі свою розробку, призначену для тестування оглядачів на наявність вразливостей, чим викликав обурення в компанії Microsoft.
Дослідник в області безпеки Google Міхал Залевки, опублікував свою утиліту cross_fuzz, за допомогою якої він ідентифікував більше 100 критичних помилок у веб-браузері Internet Explorer, в тому числі вже відому, але ще незакриту уразливість. Нагадаємо, що помилка полягає в некоректному спрацьовуванні компоненти mshtml.dll, яка може призвести до збою роботи цільової системи.
У липні минулого року, пан Залевська, відправивши програму в Microsoft, повідомив, що має намір опублікувати її в січні цього року.
Однак, через прикре непорозуміння, йому довелося зробити це трохи раніше.
Справа в тому, що всі файли програми і результати тестів згаданої помилки зберігалися на сервері. Але, файли, випадково, були проіндексовані пошуковою машиною Google, в результаті чого потрапили в глобальну мережу. Першого січня, він виявив, що доступ до них отримали особи, які використовують китайські IP адреси, про що сповістив Microsoft. Варто зауважити, що останні, після того як стало про уязвмімості, просили розробника не публікувати програму до виходу оновлення для браузера.
Крім Internet Explorer, утиліта здатна визначати наявність критичних помилок і в інших веб-брузерах, наприклад Opera і Firefox. Про це разработчк згадав у своєму зверненні до компанії, повідомивши, що подібні уразливості, знайдені в згаданих додатках, давно були усунені.
У Microsoft ж вважають, що помилка в IE не порівнянна з уразливими в інших браузерах, так як використовувалася стара версія утиліти. Крім того, випадків експлуатації цієї помилки виявлено не було, та й скарг від користувачів не надходило. Однак роботи з усунення помилки ведуться і патч планується випустити 11 січня.
|