A Tavis Ormandy 0-day bejelentése után kialakult harc tovább folytatódik, az utóbbi napokban két pofont is kapott a Microsoft nyilvánosságrahozatali politikája.
A VUPEN néhány napja jelentette be, hogy megtalálták az első két biztonsági hibát az Office 2010 programcsomagban, a probléma részleteit viszont csak a saját fizető ügyfeleiknek adják ki, a Microsoftnak (aki nem tartozik ebbe a csoportba, a felelős felfedezőket csak a kiadott tanácslatban történő feltüntetéssel jutalmazzák) viszont nem.
A Microsoft-Spurned Researcher Collective (MSRC...) névre keresztelt csapat tovább ment, és közzétette egy javítatlan, Windows Vistát és 2008-at érintő, helyi jogosultságkiterjesztésre alkalmas sebezhetőség PoC kódját, így tiltakozva a cég politikája ellen.
Utóbbi csoport tevékenysége felhívja a figyelmet arra is, hogy bár Ormandy-t - aki először egyeztetni próbált a céggel - meghurcolták, a névtelen bejelentők ellen nem lehet mit tenni, így a mostani gyakorlat éppen a "felelőtlen" bejelentéseket ösztönzi.
A Microsofttól eddig nem érkezett hivatalos reakció a történtekkel kapcsolatban.
Frissítés:
A Kaspersky Lab Security News egyik cikke szerint az Internet Explorer 8 egyik core összetevőjében olyan, eddig még javítatlan sebezhetőség található, amely a távoli támadó számára kódfuttatást tehet lehetővé az áldozat érintett rendszerén. A hiba a Windows XP-n, Windows Vista-n és Windows 7-en futó Internet Explorer 8-at (32 és 64 bit) érinti.
A hibát a Wintercore-os Ruben Santamarta fedezte fel az mshtml.dll-ben. Santamarta egy proof-of-concept exploitot publikált a memóriaszivárgás bemutatására. A hiba érdekessége, hogy ASLR mellett is olyan érzékeny információkat szolgáltathat a támadó számára, amelyet az további támadásokhoz használhat fel.
A hiba úgy tűnik, hogy az IE-n kívül más böngészőt nem érint.
A probléma technikai leírása a PoC kóddal együtt itt. A részletek itt.
