Zespół badaczy bezpieczeństwa informacji o włos uniknął katastrofy po fałszywie pozytywnym twierdzeniu dotyczącym luki typu zero-day i odkrył prawdziwą lukę w pakiecie Office 2007, która uratowała reputację ich firmy.
Panika zespołu
Fałszywe odkrycie
Pod koniec 2006 roku Greg Linares podczas pracy w eEye , firma zajmująca się bezpieczeństwem cyfrowym, odkryła potencjalny błąd w funkcji konwersji obiektów Word Art w nowym pakiecie Office 2007 firmy Microsoft. Zespół ogłosił tę lukę typu zero-day i opublikował komunikaty prasowe, przyciągając uwagę głównych serwisów informacyjnych. Jednak ekspert Microsoftu David LeBlanc szybko zwrócił uwagę, że znaleziony błąd można było wykorzystać tylko wtedy, gdy do programu podłączony był debugger, co jest mało prawdopodobne w przypadku zwykłych użytkowników. Zatem odkrycie Linaresa okazało się fałszywie pozytywne.
Znalezienie prawdziwej luki w zabezpieczeniach
Zamiast wycofać aplikację, kierownictwo eEye poinstruowało zespół aby jak najszybciej znaleźć prawdziwą lukę, prawdziwą lukę dnia zerowego w pakiecie Office 2007. Rozpoczęto ciężką pracę nad ręcznym testowaniem fuzzingu pakietu i po kilku dniach ciągłych wysiłków odkryto całkowite nadpisanie rozszerzonego wskaźnika instrukcji. Badacze poprzez analizę i demonstracje potwierdzili tę nową lukę, która dotyczyła także programu Microsoft Publisher. Informacja została przesłana do Centrum reagowania na zabezpieczenia firmy Microsoft, a po jej potwierdzeniu opublikowano poradnik zawierający szczegółowe informacje na temat luki.
Słownik
- eEye to firma zajmująca się bezpieczeństwem cyfrowym, skupiająca się na zagrożeniach kierownictwo .
- Centrum reagowania na zabezpieczenia firmy Microsoft (MSRC) — Centrum reagowania na zagrożenia bezpieczeństwa firmy Microsoft.
- Fuzzing to metoda testowania oprogramowania polegająca na przesyłaniu nieprawidłowych lub losowych danych do wejścia programu w celu wykrycia luk w zabezpieczeniach.
Linki
Odpowiedzi na pytania
Co wydarzyło się w historii z Gregiem Linaresem i eEye?
Jak Gregowi Linaresowi i jego zespołowi udało się znaleźć prawdziwą lukę w zabezpieczeniach pakietu Microsoft Office 2007?
Jakie były konsekwencje dla eEye i Grega Linaresa po pomyślnym odkryciu luki?
Jaką rolę odegrał Mark Meifret, szef Grega Linaresa w eEye?
W jaki sposób zespół eEye zyskał czas na znalezienie prawdziwej luki w zabezpieczeniach?
Hashtagi
Zapisz link do tego artykulu
Dyskusja na ten temat – Znalezienie prawdziwej luki w pakiecie Office 2007: komiczna odyseja badaczy cyberbezpieczeństwa
Zespół eEye ds. cyberbezpieczeństwa ogłosił, że odkrył krytyczną lukę w zabezpieczeniach pakietu Office 2007, ale później okazało się, że jest to błąd. Aby ocalić swoją reputację i miejsca pracy, musieli dołożyć wszelkich starań, aby znaleźć prawdziwe słabe punkty.
Najnowsze komentarze
8 komentarzy
Napisz komentarz
Twój adres e-mail nie zostanie opublikowany. Wymagane pola są zaznaczone *
Egor
Co za historia! 😲 Wyobrażam sobie, jak zmartwiony był Greg, gdy okazało się, że jego błąd był fałszywy. Ale fajnie, że mieli zespół, który się nie poddał i był w stanie w krótkim czasie znaleźć prawdziwą lukę.
Marta
Tak, adrenalina musiała podskoczyć! 🥵 Brawo, że się nie poddaliście i uratowaliście oblicze firmy. W takich sytuacjach ważne jest, aby działać szybko i zjednoczyć się.
Grzegorz
Czy możesz sobie wyobrazić, gdyby nie znaleźli nowej luki w zabezpieczeniach? 😨 Byłby to cios dla reputacji eEye. Dobrze, że ekipa wykazała się wytrzymałością i pomysłowością!
Klaus
Zdarza się, że wydaje Ci się, że znalazłeś błąd, a tak naprawdę go nie znalazłeś 🤷♂️ Najważniejsze to nie poddawać się i iść dalej. Greg i jego zespół byli wspaniali, ponieważ szybko zareagowali i naprawili sytuację. Profesjonalizm w najlepszym wydaniu!
Dmitriy
Uff, co za pasja! 😰 Myślałam, że praca specjalisty ds. cyberbezpieczeństwa polega wyłącznie na siedzeniu przy komputerze. Okazuje się, że czasami rozgrywa się tu cały film akcji! 🤯
Franco
Cóż, nie zdarza się to codziennie 🥶 W cyberprzestrzeni dzieje się tyle ciekawych rzeczy! Ale kiedyś znalazłem błąd w mojej ulubionej strzelance - postać zamiast strzelać, zaczęła robić pompki 🤣 Było fajnie!
Ivan
Hmm, tu macie wszystkie te wasze nowomodne cyfrowe bzdury 🙄 Za moich czasów wszystko było naprawdę: otworzyłem książkę i czytam, a nie jak dzisiejsze programy z niekończącą się liczbą błędów! A pakiety biurowe jeszcze straszniejsze 💀
Magda
Oj, daj spokój, dziadku Wania 🧓 Sam zapewne opanowałeś już smartfon i YouTube 📲 Technologia to postęp, z błędami czy bez. Trzeba po prostu iść z duchem czasu i nie bać się nowości! 🚀