Эксперт по безопасности опубликовал эксплойт для опасной уязвимости в Windows 10/11
2924
Эксперт по безопасности Абдельхамид Насери (Abdelhamid Naceri) обнаружил в Windows 10/11 опасную уязвимость и без предварительного уведомления Microsoft, чтобы та могла исправить ее, что обычно принято в таких случаях, опубликовал рабочий эксплойт на GitHub. Это стало следствием того, что компания из Редмонда существенно снизила вознаграждение за обнаружение уязвимостей в Windows.
В одному западному интернет-изданию Абдельхамид пояснил свой поступок обидой и злостью на компанию. Он сообщил, что те уязвимости за которые исследователи безопасности обычно получали 10000 долларов США теперь оцениваются всего в 1000 долларов. Таким образом он отомстил компании за ее экономию в вопросах безопасности.
В качестве эксплойта для уязвимости нулевого дня используется установочный MSI файл, который запускается даже если политикой безопасности запрещена возможность устанавливать новые приложения обычным пользователям. В октябре Microsoft уже исправила опасную уязвимость CVE-2021-41379, но Насери смог найти обходной путь после изучения выпущенного обновления безопасности и вновь воспользоваться ей. Как быстро компания выпустит новое обновление пока неясно.
Комментарии
Верно ли я понимаю то, что значительное сокращение размера денежного вознаграждения "за найденные дыры" связано с тем, что желающих их найти стало значительно больше? (формально их же, даже под крылом самих мелко-мягких сколько? 3 миллиона?). Или же это банальное "стремление к экономии"?
Illiryel, скорее - глобальная тенденция. Практически все крупные вендоры сейчас или урезали выплаты или просто игнорируют присылаемые ошибки.
Подозреваю, что тут целая цепочка взаимовлиящих обстоятельств:
Индусские программисты, пишущие говнокод, в котором легко найти дырки.
Увеличение числа исследователей, после того, как вендоры пооткрывали программы денежного возмещения за найденные баги.
Вал сообщений, ведущих к захлёбыванию инженеров компаний-вендоров + слишком быстрое исчерпание фонда выплат (вспоминаем про увеличение числа т.н. "белых хакеров").
Мировой кризис с падением доходов, который привел к урезанию фондов и одновременному увеличению числа исследователей, желающих подзаработать.
И т.д. и т.п.
Denis_Ignatchik писал:
Мировой кризис с падением доходов, который привел к урезанию фондов
аааа... каюсь, (слона-то я и не приметил и) забыл =) у нас же "бакс дохнет" (дефолт во все поля и особа получавшая ленинскую премию в студенческие годы и сейчас оказавшаяся на ведущем финансовом посту в США). Понимаю. В таком случае "хорошо, что они вообще платят" =)
По теме
- Состоялся релиз обновления Windows 10 2022 Update (22H2)
- В декабре прекратится поддержка Windows 10 21H1
- Энтузиасты протестировали Windows 10 на iPad Pro M1
- Windows 10 22H2 будет иметь ограниченный набор новшеств
- WebView 2 стал доступен разработчикам в Windows 10
- В Средстве диагностики Windows обнаружена серьезная уязвимость
- На предрелизном канале вышла Windows 10 19044.1739 с разными исправлениями
- Новые обновления безопасности и прекращение поддержки Windows 10 20H2
- Включение "Режима бога" в Windows 10/11
- Обновление до Windows 10 21H2 стало доступно всем