Уже раскрыто 22 серьезных «дыры» в приложениях семи компаний, включая IBM, Hewlett-Packard и Microsoft, сообщает «Вебпланета».
Программе Zero Day Initiative (ZDI) уже пять лет, и она хорошо известна проведением хакерских состязаний Pwn2Own, в ходе которых осуществляется взлом популярных приложений за счет неизвестных ранее уязвимостей. Через несколько недель состоится очередной конкурс на приз от компании Google, участники которого будут пробивать защиту браузеров и смартфонов.
В начале августа прошлого года ZDI заявила, что у нее накопилась 31 уязвимость высокой степени риска и о каждой уже более года как были поставлены в известность разработчики соответствующих программных продуктов, но «дыры» так и не были устранены. Чтобы как-то расшевелить разработчиков, ZDI объявила о введении полугодового моратория на разглашение информации об этих и последующих «дырах»: если за полгода после информирования разработчика о наличии в его программе «дыры» тот не выпустит «заплатку» или не сможет дать разумное объяснение ее отсутствию, ZDI публично обнародует описание уязвимости, а также советы по ее обходу пользователями.
Несколько дней назад как раз исполнилось полгода с момента этого анонса — и руководитель отдела TippingPoint по исследованиям в области безопасности Аарон Портной опубликовал информацию о 22 серьезных уязвимостях, из которых 9 приходится на IBM, 5 — на Microsoft и 4 — на Hewlett-Packard. Еще по одной уязвимости приходится на программное обеспечение Novell, SCO, CA Technologies и EMC.
В случае с IBM для каждой из уязвимостей также приводится отчет о переписке ZDI с разработчиком, начиная с момента уведомления о наличии «дыры». Из этих отчетов следует, что многим «дырам» уже более 2,5 лет; IBM при этом уверяет, что не может воспроизвести ошибку, несмотря на предоставленные ZDI исходники эксплойтов-концептов.