Команда исследователей информационной безопасности едва избежала катастрофы после ложноположительного заявления об уязвимости нулевого дня и нашла реальную уязвимость в Office 2007, чтобы спасти репутацию своей компании.
Паника команды
Ложное откровение
В конце 2006 года Грег Линарес, работая в компании eEye, занимающейся цифровой безопасностью, обнаружил потенциальную ошибку в функции преобразования объектов Word Art в новом пакете Office 2007 от Microsoft. Команда объявила об этой уязвимости нулевого дня и опубликовала пресс-релизы, привлекая внимание крупных новостных изданий. Однако вскоре эксперт Microsoft Дэвид Леблан указал, что найденная ошибка могла быть использована лишь при подключении отладчика к программе, что маловероятно для обычных пользователей. Таким образом, открытие Линареса оказалось ложноположительным.
Поиски настоящей уязвимости
Вместо отзыва заявления, руководство eEye поручило команде как можно быстрее найти реальную уязвимость нулевого дня в Office 2007. Началась напряженная работа по ручному тестированию пакета методом фаззинга, и через несколько дней непрерывных усилий удалось обнаружить полную перезапись указателя расширенных инструкций. Исследователи подтвердили эту новую уязвимость, затронувшую также Microsoft Publisher, путем анализа и демонстраций. Информация была передана в Центр реагирования на угрозы безопасности Microsoft, а консультативное сообщение с деталями уязвимости опубликовано после ее подтверждения.
Глоссарий
- eEye - фирма цифровой безопасности, занимающаяся управлением угрозами.
- Microsoft Security Response Center (MSRC) - Центр реагирования на угрозы безопасности Microsoft.
- Фаззинг - метод тестирования программного обеспечения, заключающийся в подаче некорректных или случайных данных на вход программы с целью обнаружения уязвимостей.
Ссылки
Ответы на вопросы
Что произошло в истории с Грегом Линаресом и компанией eEye?
Как Грегу Линаресу и его команде удалось найти реальную уязвимость в Microsoft Office 2007?
Каковы были последствия для компании eEye и Грега Линареса после успешного обнаружения уязвимости?
Какую роль сыграл Марк Мейфрет, руководитель Грега Линареса в eEye?
Как команде eEye удалось выиграть время для поиска настоящей уязвимости?
Хештеги
Сохрани ссылку на эту статью
Обсуждение темы – Поиск истинной уязвимости в Office 2007: комичная одиссея исследователей кибербезопасности
Команда специалистов по кибербезопасности eEye объявила об обнаружении критической уязвимости в Office 2007, но позже выяснилось, что это была ошибка. Чтобы сохранить свою репутацию и работу, им пришлось изо всех сил искать настоящую уязвимость.
Последние комментарии
8 комментариев
Написать комментарий
Ваш адрес электронной почты не будет опубликован. Обязательные поля отмечены *
Egor
Что за история! 😲 Представляю, как Грег волновался, когда выяснилось, что его ошибка оказалась ложной. Но круто, что у них была команда, которая не опустила руки и смогла найти настоящую уязвимость за короткое время.
Marta
Да уж, адреналин, наверное, зашкаливал! 🥵 Молодцы, что не сдались и сохранили лицо компании. В таких ситуациях важно действовать быстро и сплоченно.
Grzegorz
А представляете, если бы они не нашли новую уязвимость? 😨 Это был бы удар по репутации eEye. Хорошо, что команда проявила выдержку и смекалку!
Klaus
Бывает, вроде нашел ошибку, а на самом деле нет 🤷♂️ Главное - не опускать руки и идти дальше. Грег и его команда молодцы, что быстро среагировали и исправили ситуацию. Профессионализм на высоте!
Dmitriy
Фу, ну и страсти! 😰 А я думал, работа специалиста по кибербезопасности - сплошное сидение за компьютером. Оказывается, тут целый экшн-муви разворачивается порой! 🤯
Franco
Да уж, не каждый день такое случается 🥶 В киберпространстве столько всего интересного происходит! А я вот как-то нашел баг в своем любимом шутере - персонаж вместо того, чтобы стрелять, начинал отжиматься 🤣 Прикольно было!
Ivan
Хм, вот вам и вся ваша новомодная цифровая ерунда 🙄 В мое время все было по-настоящему: открыл книгу - и читай, не то что нынешние программы с бесконечными ошибками! А уж офисные пакеты - это ваапще жуть 💀
Magda
Ой, да ладно вам, дед Ваня 🧓 Сами-то наверняка уже освоили смартфон и ютуб 📲 Технологии - это прогресс, с ошибками или без. Просто нужно двигаться в ногу со временем и не бояться новых вещей! 🚀