Принимаю условия соглашения и даю своё согласие на обработку персональных данных и cookies.

IBM, HP и Microsoft не торопятся латать дыры

9 февраля 2011, 18:30
Техасская компания TippingPoint начала публиковать отчеты об уязвимостях в программных продуктах, обнаруженных в рамках программы Zero Day Initiative и не устраненных разработчиками за 6 месяцев.

Уже раскрыто 22 серьезных «дыры» в приложениях семи компаний, включая IBM, Hewlett-Packard и Microsoft, сообщает «Вебпланета».

Программе Zero Day Initiative (ZDI) уже пять лет, и она хорошо известна проведением хакерских состязаний Pwn2Own, в ходе которых осуществляется взлом популярных приложений за счет неизвестных ранее уязвимостей. Через несколько недель состоится очередной конкурс на приз от компании Google, участники которого будут пробивать защиту браузеров и смартфонов.

В начале августа прошлого года ZDI заявила, что у нее накопилась 31 уязвимость высокой степени риска и о каждой уже более года как были поставлены в известность разработчики соответствующих программных продуктов, но «дыры» так и не были устранены. Чтобы как-то расшевелить разработчиков, ZDI объявила о введении полугодового моратория на разглашение информации об этих и последующих «дырах»: если за полгода после информирования разработчика о наличии в его программе «дыры» тот не выпустит «заплатку» или не сможет дать разумное объяснение ее отсутствию, ZDI публично обнародует описание уязвимости, а также советы по ее обходу пользователями.

Несколько дней назад как раз исполнилось полгода с момента этого анонса — и руководитель отдела TippingPoint по исследованиям в области безопасности Аарон Портной опубликовал информацию о 22 серьезных уязвимостях, из которых 9 приходится на IBM, 5 — на Microsoft и 4 — на Hewlett-Packard. Еще по одной уязвимости приходится на программное обеспечение Novell, SCO, CA Technologies и EMC.

В случае с IBM для каждой из уязвимостей также приводится отчет о переписке ZDI с разработчиком, начиная с момента уведомления о наличии «дыры». Из этих отчетов следует, что многим «дырам» уже более 2,5 лет; IBM при этом уверяет, что не может воспроизвести ошибку, несмотря на предоставленные ZDI исходники эксплойтов-концептов.