Jei norite ką nors apkaltinti dėl pavojingo išnaudojimo kodo, nukreipto į „Yahoo Messenger“ spragas, išleidimą, parodykite pirštu į „Yahoo“ atstovę Terrellą Karlsteną.
Jei norite ką nors apkaltinti dėl pavojingo išnaudojimo kodo, nukreipto į „Yahoo Messenger“ spragas, išleidimą, parodykite pirštu į „Yahoo“ atstovę Terrellą Karlsteną.
Pasirodo, Karlstenas viešai paskelbė smulkias detales apie dvi klaidas, kurios buvo privačios – ir atsakingai. – pranešė eEye Digital Security, nukreipdama įsilaužėlius į konkrečius ActiveX valdiklius, kuriuose buvo pažeidžiamumas.
Naudodamasis Karlsteno vadovu, įsilaužėlis, vardu Danny, nurodo a pūkelis prie nustatytų „ActiveX“ valdiklių ir per valandą randa gedimą, dėl kurio atsirado pažeidžiamumų / išnaudojimų.
Štai netinkamo trūkumų atskleidimo laiko juosta:
2007 m. birželio 5 d.: eEye skelbia a patarimas dėl plikų kaulų sakydamas, kad „Yahoo Messenger“ yra daug trūkumų, leidžiančių nuotoliniu būdu vykdyti savavališką kodą su minimalia vartotojo sąveika. Be to, paprasta pastaba, nepateikiama jokios informacijos.
2007 m. birželio 6 d., 16:06: Informacinė savaitė paleidžia istoriją su šia niūria citata: „Neseniai sužinojome apie a buferio perpildymo saugos problema ActiveX valdiklyje. Ši kontrolė yra interneto kameros vaizdo įkėlimo ir peržiūros kodo dalis. Sužinoję apie šią problemą, pradėjome siekti sprendimo ir tikimės, kad netrukus ją išspręsime“, – sakė „Yahoo“ atstovė Terrell Karlsten. (Kursyvas yra mano).
(Pastaba: Informacinė savaitė vėliau tą dieną atnaujina savo istoriją, pašalindama iš sakinio Karlsteno vardą. Neowinas turi originalios istorijos įrodymų).
2007 m. birželio 6 d., 17:50: „Danny“ išleidžia savo pirmasis išnaudojimas su nuoroda į Informacinės savaitės istoriją ir pasigyręs savo atradimu vos po 45 min.
2007 m. birželio 6 d., 19:03: The antrasis išnaudojimas išleido "Danny", dar viena nuoroda į Karlsteno nuorodas Informacijos savaitės kūrinyje.
Kalbėjausi su „eEye“ vyriausiuoju įsilaužimo pareigūnu Marcu Maiffretu ir jis nurodė „Yahoo“ kaip šalį, kuri sujaukė atskleidimo procesą, todėl milijonams vartotojų kilo kodo vykdymo atakų rizika.
"Yahoo $ #% atpigo. Iš esmės jie išpylė pupeles“, – sakė susierzinęs Maiffret.
Turiu užklausą Yahoo komentuoti ir prireikus atnaujinsiu šį tinklaraščio įrašą. Aš ką tik atsikalbinėjau su labai atgailaujančiu Karlstenu, kuris prisipažino, kad buvo suklydęs, ir pareiškė, kad tai „baisi neapsižiūrėjimas“. Ji sakė, kad jos komentarai buvo „ne „Yahoo“ atskleidimo proceso atstovas ir tai buvo klaida, dėl kurios galima kaltinti bendrovės pastangas būti skaidriai ir atvirai su savo klientais.
Turiu pagirti „Yahoo“ už tai, kad ši pataisa buvo išleista per rekordiškai trumpą laiką (48 valandas) ir stengėsi, kad naudotojai prisijungtų prie atnaujinimo, bet vis tiek manau jie turėtų tvirtai laikyti, kad tai yra privalomas atnaujinimas.
TAIP PAT ŽR. ŠIAS SUSIJUSIAS ISTORIJAS:
„Yahoo Messenger“ „didelės rizikos“ trūkumai
Išnaudoti išnaudojimai dėl bjaurių Yahoo Webcam ActiveX trūkumų
„Microsoft“ patarimai, duodantys užuominų įsilaužėliams