Инициаторы программы Zero Day Initiative (ZDI) возобновили публикацию отчетов о уязвимостях в программных продуктах, не устраненных разработчиками в течение по крайней мере шести месяцев. В первой же публикации раскрыто 22 серьезных "дыры" в приложениях семи компаний, сообщает Вебпланета.
9 "дыр" приходится на долю ПО от IBM, 5 - на Microsoft и 4 - на Hewlett-Packard. Еще по одной уязвимости приходится на программное обеспечение Novell, SCO, CA Technologies и EMC.
Кроме того, опубликован отчет о переписке ZDI с разработчиками из IBM, начиная с момента уведомления о наличии "дыры". Из этих документов следует, что многим "дырам" уже более 2,5 лет; IBM при этом уверяет, что не может воспроизвести ошибку, несмотря на предоставленные ZDI исходники эксплойтов-концептов.
Программе ZDI уже пять лет, и она хорошо известна проведением хакерских состязаний Pwn2Own, в ходе которых осуществляется взлом популярных приложений за счет неизвестных ранее уязвимостей. Через несколько недель состоится очередной конкурс, участники которого будут пробивать защиту браузеров и смартфонов.
В начале августа прошлого года ZDI объявила о том, что у нее накопилось 31 уязвимость высокой степени риска, о каждой из которых уже более года как были поставлены в известность разработчики соответствующих программных продуктов, но которые так и не были устранены.
Чтобы расшевелить разработчиков, ZDI ввела шестимесячный мораторий на разглашение информации об этих и последующих "дырах": если за полгода после информирования разработчика о наличии в его программе "дыры" тот не выпустит "заплатку" или не сможет дать разумное объяснение ее отсутствию, ZDI публично обнародует описание уязвимости, а также советы по ее обходу пользователями.
Несколько дней назад как раз исполнилось полгода с момента этого анонса.