Stfw.RuТэвис Орманди (Tavis Ormandy), который является одним из разработчиков компании Google, опубликовал данные об уязвимости нулевого дня в ОС Windows. При этом ИБ-эксперт не уведомил Microsoft об обнаруженной бреши.
В списке рассылки Тэвис Орманди написал, что у него «нет свободного времени, чтобы разбираться в глупом коде Microsoft», из-за чего он не смог оформить сообщение с описанием уязвимости должным образом.
Таким образом, Орманди просто прислал в рассылку Full Disclosure фрагмент кода с «очевидным багом win32k!EPATHOBJ::pprFlattenRec». Первое письмо пришло 17 мая. В нем эксперт по ИБ обратился ко всем коллегам с призывом посмотреть код и подумать, как можно эксплуатировать данную уязвимость.
Через две недели, 2 июня, исследователь опубликовал уже готовый эксплоит , с помощью которого осуществляется эскалация привилегий в Windows:
Орманди утверждает, что злоумышленники уже используют эту уязвимость и сделали эксплоит еще раньше него, так что публикация информации в такой ситуации вполне оправдана.
Отметим, что это не первый такой случай. Так, три года назад Microsoft раскритиковала размещение описания уязвимости в открытом доступе. Тогда Орманди сообщил о бреше 5 июня, а уже 9 июня – опубликовал данные.
