MegaBits.lv - ir tiešsaites žurnāls, kur tu vari atrast jaunumus un ziņas par mūsdienīgam tehnoloģijam


Atpakaļ
Programmatūra

Pētnieki kļūdaini ziņoja par Office 2007 ievainojamību un pēc tam meklēja jaunu, lai nezaudētu darbu.

Pētnieki kļūdaini ziņoja par Office 2007 ievainojamību un pēc tam meklēja jaunu, lai nezaudētu darbu.
0 0 12 0

Gregs Linaress dalījās ar jautru stāstu vietnē X par to, kā viņš un viņa komandas biedri paziņoja par lielu nulles dienas ievainojamību Office 2007. Tomēr izrādījās, ka tā bija viņu kļūda. Lai saglabātu savu reputāciju, darbu un, iespējams, pat biznesu, viņiem nācās izmisīgi meklēt patiesu kļūdu. Tas notika 2006. gada beigās, kad Linaress strādāja digitālās drošības firmā eEye, un viņi testēja jauno Microsoft Office paketi uz ievainojamībām.

eEye ir viens no vadošajiem draudu pārvaldības uzņēmumiem, un tās uzdevums bija pārbaudīt, vai jaunākā Office versijā ir kādas nulles dienas ievainojamības. 36 stundu laikā pēc izlaišanas Linaress atklāja kļūdu Word Art objektu konvertēšanas funkcijā. Viņš šo atradumu nosūtīja savam vadītājam Markam Meifretam, kurš piekrita Linaresa secinājumiem un nosūtīja tos Microsoft Drošības Atbildes Centram (MSRC). Tajā pašā laikā eEye izplatīja vairākus preses relīzes par kļūdu, un daži lieli ziņu mediji par to ziņoja, balstoties uz eEye paziņojumu.

Bet drīz vien Deivids Leblans, viens no vadošajiem drošības ekspertiem, kas strādāja pie Office 2007, pamanīja, ka kļūdu var izmantot tikai tad, ja ir pievienots atkļūdotājs. Taču, izmantojot programmu parastiem lietotājiem, tas gandrīz nekad nenotiek. Tas nozīmēja, ka Grega Linaresa atradums bija kļūdains, un eEye bija jāatsauc savi paziņojumi.

Līdz tam laikam Gregs bija strādājis eEye mazāk nekā divus mēnešus un jutās satriecoši, jo viņa kļūda potenciāli varēja maksāt uzņēmuma reputāciju un viņam pašam - pozīciju uzņēmumā. eEye būtu jāatsauc savs paziņojums.

Taču Markam bija cita ideja: tā vietā, lai atsauktu preses relīzi, viņš sacīja pētniecības grupai pēc iespējas ātrāk atrast jaunu nulles dienas kļūdu Office 2007. Tikmēr eEye kavēja laiku, informējot MSRC, ka komanda nosūtījusi nepareizo failu un drīzumā sniegs atjauninājumu.

Tātad, Linaress sāka manuāli veikt fāzingu – nejauši ievadīt nederīgus un negaidītus datus – Office paketei, lai mēģinātu kaut ko atrast. Viņam palīdzēja visa pētniecības grupa. Neviens no komandas nedēļu ilgi neizeja no biroja, un viņu sievas un partneri bija ļoti norūpējušies par viņiem. Viņi turpināja mēģinājumus, līdz atrada citu kļūdu, lai apstiprinātu savu pirmo paziņojumu.

Pēc četrām dažādu mēģinājumu dienām beidzot izdevās atrast un atkārtot kļūdu — pilnīgu norādes paplašināto instrukciju pārrakstīšanu, ļaujot komandai pārņemt programmu vadību. Citas komandas locekļi sāka meklēt kļūdas avotu un atklāja, ka tā ietekmēja Microsoft Publisher. Pēc ievainojamības atkārtotas testēšanas ar atkļūdotāju un jaunu operētājsistēmu komanda apstiprināja kļūdu.

Pēc tam komanda nodeva informāciju par jauno ievainojamību MSRC un veica pilnīgas ievainojamības demonstrācijas, apstiprinot savus secinājumus presei. Tad Microsoft to apstiprināja un pēc tam eEye sagatavoja ieteikumu par ievainojamības detaļām. Uzņēmumam nevajadzēja atsaukt savu sākotnējo paziņojumu, Gregs saglabāja savu darbu eEye kā drošības pētnieks un jau aptuveni 20 gadus strādā informācijas drošības nozarē.

Avots: tomshardware

Saistītie Tagi:

Paldies, tavs viedoklis pieņemts.

Komentāri (0)

Šobrīd nav neviena komentāra

Atstāj Komentāru:

Lai būtu iespējams atstāt komentāru - tēv jāautorizējas mūsu vietnē

Saistītie Raksti