Une équipe de chercheurs en sécurité de l'information a évité de peu un désastre après une fausse déclaration positive concernant une vulnérabilité Zero Day et a découvert une véritable vulnérabilité dans Office 2007 pour sauver la réputation de leur entreprise.
Panique d'équipe
Fausse révélation
Fin 2006, Greg Linares, alors qu'il travaillait chez eEye , une société de sécurité numérique, a découvert un bug potentiel dans la fonctionnalité de conversion Word Art de la nouvelle suite Office 2007 de Microsoft. L’équipe a annoncé cette vulnérabilité zero-day et publié des communiqués de presse, attirant l’attention des principaux médias. Cependant, l'expert Microsoft David LeBlanc a rapidement souligné que l'erreur trouvée ne pouvait être utilisée que lorsqu'un débogueur était connecté au programme, ce qui est peu probable pour les utilisateurs ordinaires. Ainsi, la découverte de Linares s’est avérée être un faux positif.
Trouver la véritable vulnérabilité
Au lieu de retirer l'application, la direction d'eEye a demandé à l'équipe pour trouver le plus rapidement possible la véritable vulnérabilité d'Office 2007. Un travail acharné a commencé sur les tests de fuzzing manuels du package, et après plusieurs jours d'efforts continus, un écrasement complet du pointeur d'instruction étendu a été découvert. Les chercheurs ont confirmé cette nouvelle vulnérabilité, qui affectait également Microsoft Publisher, à travers des analyses et des démonstrations. Les informations ont été soumises au Microsoft Security Response Center et un avis contenant des détails sur la vulnérabilité a été publié une fois confirmé.
Glossaire
- eEye est une société de sécurité numérique axée sur les menaces. gestion .
- Centre de réponse aux menaces de sécurité Microsoft (MSRC) - Centre de réponse aux menaces de sécurité Microsoft.
- Le Fuzzing est une méthode de test logiciel qui consiste à soumettre des données incorrectes ou aléatoires à l'entrée du programme afin de détecter les vulnérabilités.
Liens
Réponses aux questions
Que s'est-il passé dans l'histoire entre Greg Linares et eEye ?
Comment Greg Linares et son équipe ont-ils réussi à trouver une véritable vulnérabilité dans Microsoft Office 2007 ?
Quelles ont été les conséquences pour eEye et Greg Linares après avoir découvert avec succès la vulnérabilité ?
Quel rôle a joué Mark Meifret, le patron de Greg Linares chez eEye ?
Comment l'équipe eEye a-t-elle gagné du temps pour trouver la véritable vulnérabilité ?
Hashtags
Enregistrer un lien vers cet article
Discussion sur le sujet – Trouver la véritable vulnérabilité dans Office 2007 : une odyssée comique de chercheurs en cybersécurité
L'équipe de cybersécurité d'eEye a annoncé avoir découvert une vulnérabilité critique dans Office 2007, mais celle-ci s'est révélée plus tard être un bug. Pour sauver leur réputation et leur emploi, ils ont dû faire tout leur possible pour découvrir une réelle vulnérabilité.
Derniers commentaires
8 commentaires
Écrire un commentaire
Votre adresse email ne sera pas publiée. Les champs obligatoires sont cochés *
Egor
Quelle histoire! 😲 Je peux imaginer à quel point Greg était inquiet lorsqu'il s'est avéré que son erreur était fausse. Mais c’est cool qu’ils aient une équipe qui n’a pas abandonné et qui a pu trouver une réelle vulnérabilité en peu de temps.
Marta
Oui, l’adrénaline a dû monter en flèche ! 🥵 Bravo de ne pas abandonner et de sauver la face de l'entreprise. Dans de telles situations, il est important d’agir rapidement et de manière solidaire.
Grzegorz
Pouvez-vous imaginer s'ils n'avaient pas trouvé une nouvelle vulnérabilité ? 😨 Ce serait un coup dur pour la réputation d'eEye. C'est bien que l'équipe ait fait preuve d'endurance et d'ingéniosité !
Klaus
Il arrive que vous semblez avoir trouvé une erreur, mais en fait ce n'est pas le cas 🤷♂️ L'essentiel est de ne pas abandonner et de passer à autre chose. Greg et son équipe ont été formidables pour réagir rapidement et rectifier la situation. Le professionnalisme à son meilleur !
Dmitriy
Ouf, quelle passion ! 😰 Je pensais que le travail d'un spécialiste de la cybersécurité consistait uniquement à s'asseoir devant un ordinateur. Il s'avère que parfois tout un film d'action se déroule ici ! 🤯
Franco
Eh bien, cela n’arrive pas tous les jours 🥶 Il se passe tellement de choses intéressantes dans le cyberespace ! Mais une fois, j'ai trouvé un bug dans mon jeu de tir préféré : le personnage, au lieu de tirer, a commencé à faire des pompes 🤣 C'était cool !
Ivan
Hmm, voilà toutes vos bêtises numériques inédites 🙄 À mon époque, tout était réel : j'ouvrais un livre et je lisais, pas comme les programmes d'aujourd'hui avec des erreurs sans fin ! Et les forfaits bureautiques sont encore plus terribles 💀
Magda
Oh, allez, grand-père Vanya 🧓 Vous maîtrisez probablement déjà vous-même un smartphone et YouTube 📲 La technologie est un progrès, avec ou sans erreurs. Il suffit d'évoluer avec son temps et de ne pas avoir peur des nouveautés ! 🚀