Un team di ricercatori sulla sicurezza informatica ha evitato per un pelo il disastro dopo un'affermazione di falso positivo per una vulnerabilità zero-day e ha trovato una vera vulnerabilità in Office 2007 per salvare la reputazione della propria azienda.
Team Panic
Falsa rivelazione
Alla fine del 2006, Greg Linares, mentre lavorava presso eEye , una società di sicurezza digitale, ha scoperto un potenziale bug nella funzionalità di conversione Word Art nella nuova suite Office 2007 di Microsoft. Il team ha annunciato questa vulnerabilità zero-day e ha pubblicato comunicati stampa, attirando l'attenzione dei principali organi di informazione. Tuttavia, l'esperto Microsoft David LeBlanc ha subito sottolineato che l'errore trovato poteva essere utilizzato solo se al programma era collegato un debugger, cosa improbabile per gli utenti comuni. Pertanto, la scoperta di Linares si è rivelata un falso positivo.
Individuazione della vera vulnerabilità
Invece di ritirare la domanda, la direzione di eEye ha incaricato il team per trovare la vera vulnerabilità il più rapidamente possibile una vera vulnerabilità zero-day in Office 2007. È iniziato un duro lavoro con il test manuale di fuzzing del pacchetto e, dopo diversi giorni di impegno continuo, è stata scoperta una completa sovrascrittura del puntatore dell'istruzione estesa. I ricercatori hanno confermato questa nuova vulnerabilità, che ha colpito anche Microsoft Publisher, attraverso analisi e dimostrazioni. Le informazioni sono state inviate al Microsoft Security Response Center e una volta confermata è stato pubblicato un avviso con i dettagli della vulnerabilità.
Glossario
- eEye è un'azienda di sicurezza digitale focalizzata sulle minacce gestione .
- Microsoft Security Response Center (MSRC) - Centro di risposta alle minacce alla sicurezza Microsoft.
- Il fuzzing è un metodo di test del software che prevede l'invio di dati errati o casuali all'input del programma per rilevare le vulnerabilità.
Link
Risposte alle domande
Cos'è successo nella storia con Greg Linares ed eEye?
Come sono riusciti Greg Linares e il suo team a trovare una vera vulnerabilità in Microsoft Office 2007?
Quali sono state le conseguenze per eEye e Greg Linares dopo aver scoperto con successo la vulnerabilità?
Che ruolo ha giocato Mark Meifret, il capo di Greg Linares presso eEye?
In che modo il team eEye ha guadagnato tempo per trovare la vera vulnerabilità?
Hashtags
Salva un link a questo articolo
Discussione sull'argomento – Alla ricerca della vera vulnerabilità in Office 2007: una comica odissea di ricercatori di sicurezza informatica
Il team di sicurezza informatica di eEye ha annunciato di aver scoperto una vulnerabilità critica in Office 2007, ma in seguito si è rivelato essere un bug. Per salvare la loro reputazione e il loro lavoro, hanno dovuto fare di tutto per trovare una vera vulnerabilità.
Ultimi commenti
8 commenti
Scrivi un commento
Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono spuntati *
Egor
Che storia! 😲 Posso immaginare quanto fosse preoccupato Greg quando si scoprì che il suo errore era falso. Ma è bello che abbiano avuto una squadra che non si è arresa ed è stata in grado di trovare una vera vulnerabilità in breve tempo.
Marta
Sì, l'adrenalina deve essere alle stelle! 🥵 Complimenti per non essersi arreso e aver salvato la faccia dell'azienda. In tali situazioni, è importante agire rapidamente e in modo unito.
Grzegorz
Riesci a immaginare se non avessero trovato una nuova vulnerabilità? 😨 Questo sarebbe un duro colpo per la reputazione di eEye. È positivo che la squadra abbia mostrato resistenza e ingegnosità!
Klaus
Succede che sembra che tu abbia trovato un errore, ma in realtà non è così 🤷♂️ L'importante è non arrendersi e andare avanti. Greg e il suo team sono stati fantastici nel reagire rapidamente e nel correggere la situazione. Professionalità allo stato puro!
Dmitriy
Uff, che passione! 😰 Pensavo che il lavoro di uno specialista in sicurezza informatica consistesse nel sedersi davanti a un computer. Si scopre che a volte qui si svolge un intero film d'azione! 🤯
Franco
Beh, questo non accade tutti i giorni 🥶 Ci sono così tante cose interessanti che accadono nel cyberspazio! Ma una volta ho trovato un bug nel mio sparatutto preferito: il personaggio, invece di sparare, ha iniziato a fare flessioni 🤣 È stato fantastico!
Ivan
Hmm, ecco tutte le tue nuove sciocchezze digitali 🙄 Ai miei tempi, tutto era reale: aprivo un libro e leggevo, non come i programmi di oggi con infiniti errori! E i pacchetti ufficio sono ancora più terribili 💀
Magda
Oh, andiamo, nonno Vanja 🧓 Probabilmente tu stesso hai già imparato a usare uno smartphone e YouTube 📲 La tecnologia è progresso, con o senza errori. Devi solo stare al passo con i tempi e non aver paura delle cose nuove! 🚀