Ein Team von Informationssicherheitsforschern konnte nach einer fälschlicherweise positiven Behauptung einer Zero-Day-Schwachstelle nur knapp eine Katastrophe vermeiden und fand eine echte Schwachstelle in Office 2007, um den Ruf ihres Unternehmens zu retten.
Team-Panik
Falsche Offenbarung
Ende 2006 Greg Linares, während er bei eEye arbeitete , ein Unternehmen für digitale Sicherheit, hat einen potenziellen Fehler in der Word-Art-Konvertierungsfunktion in der neuen Office-Suite 2007 von Microsoft entdeckt. Das Team gab diese Zero-Day-Schwachstelle bekannt und veröffentlichte Pressemitteilungen, die die Aufmerksamkeit großer Nachrichtenagenturen auf sich zogen. Der Microsoft-Experte David LeBlanc wies jedoch bald darauf hin, dass der gefundene Fehler nur dann genutzt werden könne, wenn ein Debugger mit dem Programm verbunden sei, was für normale Benutzer unwahrscheinlich sei. Somit erwies sich die Entdeckung von Linares als falsch positiv.
Finden der tatsächlichen Schwachstelle
Anstatt den Antrag zurückzuziehen, wies das eEye-Management das Team an um so schnell wie möglich die tatsächliche Schwachstelle zu finden, eine echte Zero-Day-Schwachstelle in Office 2007. Es wurde mit intensiver Arbeit an manuellen Fuzzing-Tests des Pakets begonnen, und nach mehreren Tagen kontinuierlicher Bemühungen wurde eine vollständige Überschreibung des erweiterten Anweisungszeigers entdeckt. Forscher bestätigten diese neue Sicherheitslücke, die auch Microsoft Publisher betraf, durch Analysen und Demonstrationen. Die Informationen wurden an das Microsoft Security Response Center übermittelt und nach Bestätigung der Sicherheitslücke wurde eine Empfehlung mit Einzelheiten zur Sicherheitslücke veröffentlicht.
Glossar
- eEye ist ein Unternehmen für digitale Sicherheit, das sich auf Bedrohungen konzentriert Management .
- Microsoft Security Response Center (MSRC) – Microsoft Security Threat Response Center.
- Fuzzing ist eine Softwaretestmethode, bei der falsche oder zufällige Daten an den Programmeingang übermittelt werden, um Schwachstellen zu erkennen.
Links
Antworten auf Fragen
Was ist in der Geschichte mit Greg Linares und eEye passiert?
Wie gelang es Greg Linares und seinem Team, eine echte Schwachstelle in Microsoft Office 2007 zu finden?
Welche Konsequenzen hatte die erfolgreiche Entdeckung der Sicherheitslücke für eEye und Greg Linares?
Welche Rolle spielte Mark Meifret, Greg Linares' Chef bei eEye?
Wie hat das eEye-Team Zeit gewonnen, um die tatsächliche Schwachstelle zu finden?
Hashtags
Den Link zu diesem Artikel speichern
Diskussion über das Thema – Die wahre Schwachstelle in Office 2007 finden: Eine komische Odyssee von Cybersicherheitsforschern
Das Cybersicherheitsteam von eEye gab bekannt, dass es eine kritische Schwachstelle in Office 2007 entdeckt hatte, die sich jedoch später als Fehler herausstellte. Um ihren Ruf und ihre Arbeitsplätze zu retten, mussten sie alles tun, um echte Verwundbarkeiten zu finden.
Letzte Kommentare
8 Kommentare
Kommentar schreiben
Ihre E-Mail Adresse wird nicht veröffentlicht. Erforderliche Felder sind angekreuzt *
Egor
Was für eine Geschichte! 😲 Ich kann mir vorstellen, wie besorgt Greg war, als sich herausstellte, dass sein Fehler falsch war. Aber es ist cool, dass sie ein Team hatten, das nicht aufgab und in kurzer Zeit eine echte Schwachstelle finden konnte.
Marta
Ja, das Adrenalin muss durch die Decke gegangen sein! 🥵 Gut gemacht, dass Sie nicht aufgegeben und das Gesicht des Unternehmens gewahrt haben. In solchen Situationen ist es wichtig, schnell und geschlossen zu handeln.
Grzegorz
Können Sie sich vorstellen, dass sie keine neue Schwachstelle gefunden hätten? 😨 Das wäre ein Schlag für den Ruf von eEye. Es ist gut, dass das Team Ausdauer und Einfallsreichtum bewiesen hat!
Klaus
Es kommt vor, dass man scheinbar einen Fehler gefunden hat, aber in Wirklichkeit ist das nicht der Fall 🤷♂️ Die Hauptsache ist, nicht aufzugeben und weiterzumachen. Greg und sein Team waren großartig darin, schnell zu reagieren und die Situation zu beheben. Professionalität vom Feinsten!
Dmitriy
Puh, was für eine Leidenschaft! 😰 Ich dachte, der Job eines Cybersicherheitsspezialisten bestehe darin, am Computer zu sitzen. Es stellt sich heraus, dass sich hier manchmal ein ganzer Actionfilm abspielt! 🤯
Franco
Nun, das passiert nicht alle Tage 🥶 Es passieren so viele interessante Dinge im Cyberspace! Aber ich habe einmal einen Fehler in meinem Lieblings-Shooter entdeckt – der Charakter hat statt zu schießen angefangen, Liegestütze zu machen 🤣 Das war cool!
Ivan
Hmm, hier ist der ganze neumodische digitale Unsinn 🙄 Zu meiner Zeit war alles echt: Ich habe ein Buch aufgeschlagen und gelesen, nicht wie die heutigen Programme mit endlosen Fehlern! Und Büropakete sind noch schrecklicher 💀
Magda
Oh, komm schon, Großvater Wanja 🧓 Du selbst meisterst wahrscheinlich schon ein Smartphone und YouTube 📲 Technologie ist Fortschritt, mit oder ohne Fehler. Man muss nur mit der Zeit gehen und keine Angst vor Neuem haben! 🚀