Разработчик Google вновь "слил" описание уязвимости нулевого дня
05.06.2013
Тэвис Орманди (Tavis Ormandy), который является одним из разработчиков компании Google, опубликовал данные об уязвимости нулевого дня в ОС Windows. При этом ИБ-эксперт не уведомил Microsoft об обнаруженной бреши.
В списке рассылки Тэвис Орманди написал, что у него "нет свободного времени, чтобы разбираться в глупом коде Microsoft", из-за чего он не смог оформить сообщение с описанием уязвимости должным образом.
Таким образом, Орманди просто прислал в рассылку Full Disclosure фрагмент кода с "очевидным багом win32k!EPATHOBJ::pprFlattenRec". Первое письмо пришло 17 мая. В нем эксперт по ИБ обратился ко всем коллегам с призывом посмотреть код и подумать, как можно эксплуатировать данную уязвимость.
Через две недели, 2 июня, исследователь опубликовал уже готовый эксплоит , с помощью которого осуществляется эскалация привилегий в Windows.
Орманди утверждает, что злоумышленники уже используют эту уязвимость и сделали эксплоит еще раньше него, так что публикация информации в такой ситуации вполне оправдана.
Отметим, что это не первый такой случай. Так, три года назад Microsoft раскритиковала размещение описания уязвимости в открытом доступе. Тогда Орманди сообщил о бреше 5 июня, а уже 9 июня – опубликовал данные.
