Команда дослідників інформаційної безпеки ледве уникла катастрофи після хибнопозитивної заяви про вразливість нульового дня і знайшла реальну вразливість у Office 2007, щоб урятувати репутацію своєї компанії.
Паніка команди
Неправдиве одкровення
Наприкінці 2006 року Грег Лінарес, працюючи в компанії eEye , що займається цифровою безпекою, виявив потенційну помилку функції перетворення об'єктів Word Art в новому пакеті Office 2007 від Microsoft. Команда оголосила про цю вразливість нульового дня та опублікувала прес-релізи, привертаючи увагу великих новинних видань. Однак незабаром експерт Microsoft Девід Леблан зазначив, що знайдена помилка могла бути використана лише при підключенні відладчика до програми, що є малоймовірним для звичайних користувачів. Таким чином, відкриття Лінареса виявилося хибнопозитивним.
Пошуки справжньої вразливості
Замість відкликання заяви, керівництво eEye доручило команді якнайшвидше знайти реальну вразливість нульового дня в Office 2007. Почалася напружена робота з ручного тестування пакета методом фазінгу, і через кілька днів безперервних зусиль вдалося виявити повний перезапис покажчика розширених інструкцій. Дослідники підтвердили цю нову вразливість, яка торкнулася також Microsoft Publisher шляхом аналізу та демонстрацій. Інформація була передана до Центру реагування на загрози безпеці Microsoft, а консультативне повідомлення з деталями вразливості опубліковано після її підтвердження.
Глосарій
- eEye - фірма цифрової безпеки, що займається управлінням погрозами .
- Microsoft Security Response Center (MSRC) - Центр реагування на загрози безпеці Microsoft.
- Фазинг - метод тестування програмного забезпечення, що полягає в поданні некоректних або випадкових даних на вхід програми з метою виявлення вразливостей.
Посилання
Відповіді на питання
Що сталося в історії з Грегом Лінаресом та компанією eEye?
Як Грегу Лінаресу та його команді вдалося знайти реальну вразливість у Microsoft Office 2007?
Якими були наслідки для компанії eEye та Грега Лінареса після успішного виявлення вразливості?
Яку роль відіграв Марк Мейфрет, керівник Грега Лінареса в eEye?
Як команді eEye вдалося виграти час для пошуку справжньої вразливості?
Хештеги
Збережи посилання на цю сторінку
Обговорення теми – Пошук справжньої вразливості в Office 2007: комічна одіссея дослідників кібербезпеки
Команда фахівців з кібербезпеки eEye оголосила про виявлення критичної вразливості в Office 2007, але пізніше з'ясувалося, що це була помилка. Щоб зберегти свою репутацію і роботу, їм довелося щосили шукати справжню вразливість.
Останні коментарі
8 коментарів
Написати коментар
Ваша адреса електронної пошти не буде опублікована. Обов'язкові поля відмічені *
Egor
Що це за історія! 😲 Уявляю, як Грег хвилювався, коли з'ясувалося, що його помилка виявилася хибною. Але круто, що вони мали команду, яка не опустила руки і змогла знайти справжню вразливість за короткий час.
Marta
Так, адреналін, напевно, зашкалював! 🥵 Молодці, що не здалися і зберегли особу компанії. У таких ситуаціях важливо діяти швидко та згуртовано.
Grzegorz
А уявляєте, якби вони не знайшли нової вразливості? 😨 Це був би удар по репутації eEye. Добре, що команда виявила витримку та кмітливість!
Klaus
Буває, начебто знайшов помилку, а насправді немає 🤷♂️ Головне – не опускати руки та йти далі. Грег та його команда молодці, що швидко зреагували та виправили ситуацію. Професіоналізм на висоті!
Dmitriy
Фу, та й пристрасті! 😰 А я думав, робота фахівця з кібербезпеки - суцільне сидіння за комп'ютером. Виявляється, тут цілий екшн-муві розгортається часом! 🤯
Franco
Так, не щодня таке трапляється 🥶 У кіберпросторі стільки всього цікавого відбувається! А я ось якось знайшов баг у своєму улюбленому шутері – персонаж замість того, щоб стріляти, починав віджиматися 🤣 Прикольно було!
Ivan
Хм, ось вам і вся ваша новомодна цифрова нісенітниця 🙄 У мій час все було по-справжньому: відкрив книгу - і читай, не те що нинішні програми з нескінченними помилками! А вже офісні пакети - це ваапще жах 💀
Magda
Ой, та гаразд вам, діду Ваня 🧓 Самі-то напевно вже освоїли смартфон і ютуб 📲 Технології - це прогрес, з помилками або без. Просто треба рухатися в ногу з часом та не боятися нових речей! 🚀