Опрос
Вы участвуете в программе Windows Insider?
Последние видео

Эксперт по безопасности опубликовал эксплойт для опасной уязвимости в Windows 10/11

Напечатать страницу
24.11.2021 16:36 | Nickolay

Эксперт по безопасности Абдельхамид Насери (Abdelhamid Naceri) обнаружил в Windows 10/11 опасную уязвимость и без предварительного уведомления Microsoft, чтобы та могла исправить ее, что обычно принято в таких случаях, опубликовал рабочий эксплойт на GitHub. Это стало следствием того, что компания из Редмонда существенно снизила вознаграждение за обнаружение уязвимостей в Windows.

В интервью одному западному интернет-изданию Абдельхамид пояснил свой поступок обидой и злостью на компанию. Он сообщил, что те уязвимости за которые исследователи безопасности обычно получали 10000 долларов США теперь оцениваются всего в 1000 долларов. Таким образом он отомстил компании за ее экономию в вопросах безопасности.

В качестве эксплойта для уязвимости нулевого дня используется установочный MSI файл, который запускается даже если политикой безопасности запрещена возможность устанавливать новые приложения обычным пользователям. В октябре Microsoft уже исправила опасную уязвимость CVE-2021-41379, но Насери смог найти обходной путь после изучения выпущенного обновления безопасности и вновь воспользоваться ей. Как быстро компания выпустит новое обновление пока неясно.

Комментарии

Не в сети

Верно ли я понимаю то, что значительное сокращение размера денежного вознаграждения "за найденные дыры" связано с тем, что желающих их найти стало значительно больше? (формально их же, даже под крылом самих мелко-мягких сколько? 3 миллиона?). Или же это банальное "стремление к экономии"?

24.11.21 19:48
+1
Не в сети

Illiryel, скорее - глобальная тенденция. Практически все крупные вендоры сейчас или урезали выплаты или просто игнорируют присылаемые ошибки.
Подозреваю, что тут целая цепочка взаимовлиящих обстоятельств:
Индусские программисты, пишущие говнокод, в котором легко найти дырки.
Увеличение числа исследователей, после того, как вендоры пооткрывали программы денежного возмещения за найденные баги.
Вал сообщений, ведущих к захлёбыванию инженеров компаний-вендоров + слишком быстрое исчерпание фонда выплат (вспоминаем про увеличение числа т.н. "белых хакеров").
Мировой кризис с падением доходов, который привел к урезанию фондов и одновременному увеличению числа исследователей, желающих подзаработать.
И т.д. и т.п.

24.11.21 23:15
+3
Не в сети

Denis_Ignatchik писал:
Мировой кризис с падением доходов, который привел к урезанию фондов

аааа... каюсь, (слона-то я и не приметил и) забыл =) у нас же "бакс дохнет" (дефолт во все поля и особа получавшая ленинскую премию в студенческие годы и сейчас оказавшаяся на ведущем финансовом посту в США). Понимаю. В таком случае "хорошо, что они вообще платят" =)

24.11.21 23:33
+1
Для возможности комментировать войдите в 1 клик через

По теме

Акции MSFT
329.68 0.00
Акции торгуются с 17:30 до 00:00 по Москве
Все права принадлежат © ms insider @thevista.ru, 2020
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.037 секунд (Общее время SQL: 0.017 секунд - SQL запросов: 53 - Среднее время SQL: 0.00032 секунд))
Top.Mail.Ru