Un equipo de investigadores de seguridad de la información evitó por poco el desastre después de un falso positivo por una vulnerabilidad de día cero y encontró una vulnerabilidad real en Office 2007 para salvar la reputación de su empresa.
Team Panic
Falsa revelación
A finales de 2006, Greg Linares, mientras trabajaba en eEye , una empresa de seguridad digital, ha descubierto un error potencial en la función de conversión de Word Art en la nueva suite Office 2007 de Microsoft. El equipo anunció esta vulnerabilidad de día cero y publicó comunicados de prensa, atrayendo la atención de los principales medios de comunicación. Sin embargo, el experto de Microsoft, David LeBlanc, pronto señaló que el error encontrado sólo se podía utilizar cuando se conectaba un depurador al programa, lo cual es poco probable para los usuarios comunes. Así, el descubrimiento de Linares resultó ser un falso positivo.
Encontrar la vulnerabilidad real
En lugar de retirar la solicitud, la dirección de eEye instruyó al equipo para encontrar la vulnerabilidad real lo más rápido posible, una vulnerabilidad real de día cero en Office 2007. Comenzó el trabajo duro en las pruebas manuales del paquete y, después de varios días de esfuerzo continuo, se descubrió una sobrescritura completa del puntero de instrucción extendida. Los investigadores confirmaron mediante análisis y demostraciones esta nueva vulnerabilidad, que también afectaba a Microsoft Publisher. La información se envió al Centro de respuesta de seguridad de Microsoft y una vez confirmada se publicó un aviso con detalles de la vulnerabilidad.
Glosario
- eEye es una empresa de seguridad digital centrada en amenazas gestión .
- Centro de respuesta de seguridad de Microsoft (MSRC): Centro de respuesta a amenazas de seguridad de Microsoft.
- Fuzzing es un método de prueba de software que implica enviar datos incorrectos o aleatorios a la entrada del programa para detectar vulnerabilidades.
Enlaces
Respuestas a las preguntas
¿Qué pasó en la historia con Greg Linares y eEye?
¿Cómo lograron Greg Linares y su equipo encontrar una vulnerabilidad real en Microsoft Office 2007?
¿Cuáles fueron las consecuencias para eEye y Greg Linares después de descubrir con éxito la vulnerabilidad?
¿Qué papel jugó Mark Meifret, el jefe de Greg Linares en eEye?
¿Cómo ganó tiempo el equipo de eEye para encontrar la vulnerabilidad real?
Hashtags
Guardar un enlace a este articulo
Discusion del tema – Encontrar la verdadera vulnerabilidad en Office 2007: una odisea cómica de investigadores de ciberseguridad
El equipo de ciberseguridad de eEye anunció que había descubierto una vulnerabilidad crítica en Office 2007, pero luego se reveló que se trataba de un error. Para salvar su reputación y sus puestos de trabajo, tuvieron que hacer todo lo posible para encontrar una vulnerabilidad real.
Ultimos comentarios
8 comentarios
Escribir un comentario
Su dirección de correo electrónico no se publicará. Los campos obligatorios están marcados *
Egor
¡Qué historia! 😲 Me imagino lo preocupado que estaba Greg cuando resultó que su error era falso. Pero es genial que tuvieran un equipo que no se rindió y pudo encontrar una vulnerabilidad real en poco tiempo.
Marta
Sí, ¡la adrenalina debe haberse disparado! 🥵 Enhorabuena por no rendirte y salvar la cara de la empresa. En tales situaciones, es importante actuar con rapidez y unidad.
Grzegorz
¿Te imaginas si no hubieran encontrado una nueva vulnerabilidad? 😨 Esto sería un duro golpe para la reputación de eEye. ¡Qué bueno que el equipo haya demostrado resistencia e ingenio!
Klaus
Sucede que parece que has encontrado un error, pero en realidad no es así 🤷♂️ Lo principal es no rendirte y seguir adelante. Greg y su equipo fueron geniales al reaccionar rápidamente y rectificar la situación. ¡Profesionalismo en su máxima expresión!
Dmitriy
¡Uf, qué pasión! 😰 Pensé que el trabajo de un especialista en ciberseguridad consistía en sentarse frente a una computadora. ¡Resulta que a veces aquí se desarrolla toda una película de acción! 🤯
Franco
Bueno, esto no sucede todos los días 🥶 ¡Están sucediendo tantas cosas interesantes en el ciberespacio! Pero una vez encontré un error en mi shooter favorito: el personaje, en lugar de disparar, empezó a hacer flexiones 🤣 ¡Fue genial!
Ivan
Mmmm, aquí están todas tus novedosas tonterías digitales 🙄 En mi época, todo era real: abría un libro y leía, ¡no como los programas actuales con infinitos errores! Y los paquetes de office son aún más terribles 💀
Magda
Oh, vamos, abuelo Vanya 🧓 Probablemente tú mismo ya dominas el teléfono inteligente y YouTube 📲 La tecnología es progreso, con o sin errores. ¡Solo necesitas adaptarte a los tiempos y no tener miedo de las cosas nuevas! 🚀