Tavis Ormandy – você está satisfeito com você mesmo? Site explora Microsoft dia-zero

Atualizado semana passada eu protestou contra a divulgação irresponsável por um engenheiro do Google de uma vulnerabilidade de dia zero no código da Microsoft.

Tavis Ormandy, pesquisador de segurança empregados pelo Google, encontrou uma vulnerabilidade na Ajuda do Windows XP e do Centro de Apoio, mas apenas deu à empresa cinco dias para corrigir o problema antes de ir a público com detalhes de como hackers poderiam escrever código malicioso para explorar isso.

Windows XP Help and Support Center

Na minha opinião o código de exploração publicação era um comportamento totalmente irresponsável, e eu estava preocupado que ter flutuante tais informações em torno da internet tornaria mais fácil para os cibercriminosos para tirar proveito.

Previsivelmente, os hackers estão usando agora a vulnerabilidade de dia zero de acordo com um post no blog do meu colega Donato Ferrante em SophosLabs, como um site comprometido foi encontrado que usa a explorar a cair de um cavalo de tróia nos computadores de usuários desavisados.

Sophos proativamente detecta a página como A-HcpExpl SUS / , e do cavalo de Tróia que carrega como Troj / Drop FS- .

Então, minha pergunta ao Sr. Ormandy é isso – você se sente orgulhoso de seu comportamento? Você acha que você tem ajudado a aumentar a segurança na internet? Ou você colocar a sua vaidade à frente da segurança dos outros?

Um pesquisador de segurança responsável teria sido feliz trabalhando com a Microsoft em uma resolução bem sucedida do problema, e apenas detalhes compartilhados uma vez um patch de segurança foram desenvolvidas. Cinco dias não é um período de tempo razoável para esperar a Microsoft para desenvolver uma solução que tem de ser testado para assegurar que não causar mais problemas do que tenciona corrigir.

Mais detalhes sobre a vulnerabilidade de dia zero podem ser encontrados em segurança da Microsoft consultoria sobre o assunto.

Atualize Tenho o prazer de informar que o site descobrimos que tinha sido comprometida por hackers, a fim de explorar a vulnerabilidade Microsoft já foi limpa-up. Na hora de escrever não vimos quaisquer outros sites afetados pelo problema de segurança.

Enquanto isso, a Microsoft emitiu um "Fix it" ferramenta que supostamente ajuda a bloquear vetores de ataque conhecidos até que uma atualização de segurança adequado está disponível a partir da empresa.