Исследователи безопасности протестуют против правил Microsoft

7/07/2010 14:02

Анонимная группа исследователей в сфере безопасности опубликовала информацию об уязвимости в операционных системах Windows. Отказ от общепринятого порядка с уведомлением компании Microsoft и ожиданием выпуска исправлений авторы публикации обосновали несправедливым отношением к своему коллеге со стороны компании Microsoft. Что касается самой раскрытой уязвимости, она не представляет особой опасности, ее использование позволяет злоумышленнику произвести повышение привилегий в скомпрометированной системе на базе платформы Windows Vista и Windows Server 2008. Интересно отметить способ, который выбрали «разозленные разработчики» для демонстрации очередной уязвимости. Группа авторов публикации называет себя MSRC (Microsoft-Spurned Researcher Collective) – «Коллектив исследователей, отвергнутых Microsoft». Название представляет собой пародию на название центра реагирования по проблемам безопасности Microsoft Security Response Center, которое также сокращается буквами MSRC. Анонимные исследователи утверждают, что хотят избавить желающих сообщить об уязвимостях от давления со стороны Microsoft – примером такого давления они считают случай с Тэвисом Орманди. Тогда специалист из компании Google обнаружил уязвимость 17-летней давности в виртуальной DOS-машине, которая оставалась неизменной со времен Windows NT 3.1. В прошлом месяце Орманди вновь оказался в центре скандала, когда обнародовал сведения об уязвимости, устав ждать реакции Microsoft на свое предварительное уведомление. Дефект, который обнаружил Орманди, быстро взяли на вооружение взломщики – с 15 июня компания Microsoft отследила атаки на более чем 10 000 компьютеров с использованием этой уязвимости. Пока одни критиковали Орманди за публичное раскрытие информации, другие встали на его защиту. Теперь случай Орманди используют анонимные исследователи, как основание для отказа от стандартной процедуры уведомления об уязвимостях в Windows.
Источник