TippingPoint подвела итоги Zero Day Initiative
Техасская компания TippingPoint начала публиковать отчёты об уязвимостях в программных продуктах, обнаруженных в рамках её программы Zero Day Initiative (ZDI) и не устранённых разработчиками в течение по крайней мере 6 месяцев. За вчерашний день раскрыто 22 серьёзных уязвимости в приложениях 7 компаний, включая IBM, Hewlett-Packard и Microsoft.
Программе ZDI уже пять лет, и она хорошо известна проведением хакерских состязаний Pwn2Own, в ходе которых осуществляется взлом популярных приложений за счёт неизвестных ранее уязвимостей. Через несколько недель состоится очередной конкурс, участники которого будут пробивать защиту браузеров и смартфонов.
Несколько дней назад как раз исполнилось полгода с момента этого анонса. Как следствие, вчера руководитель отдела TippingPoint по исследованиям в области безопасности Аарон Портной (Aaron Portnoy) опубликовал информацию о 22 серьёзных уязвимостях, из которых 9 приходится на IBM, 5 на Microsoft и 4 — на Hewlett-Packard. Ещё по одной уязвимости приходится на программное обеспечение Novell, SCO, CA Technologies и EMC.
В случае с IBM для каждой из уязвимостей также приводится отчёт о переписке ZDI с разработчиком, начиная с момента уведомления о наличии уязвимости. Из этих отчётов следует, что многим уязвимостям уже более 2,5 лет; IBM при этом уверяет, что не может воспроизвести ошибку, несмотря на предоставленные ZDI исходники эксплойтов-концептов.
www.securitylab.ru