0-day уязвимость в IE столкнула Microsoft и Google

0-day уязвимость в IE столкнула Microsoft и Google

На днях исследователь в области безопасности компании Google опубликовал в сети свою разработку, предназначенную для тестирования обозревателей на наличие уязвимостей, чем вызвал негодование в компании Microsoft.

Исследователь в области безопасности Google Михал Залевки, опубликовал свою утилиту cross_fuzz, с помощью которой он идентифицировал более 100 критических ошибок в веб-браузере Internet Explorer, в том числе уже известную, но еще незакрытую уязвимость. Напомним, что ошибка заключается в некорректном срабатывании компоненты mshtml.dll, которая может привести к сбою работы целевой системы.

В июле прошлого года, г-н Залевски, отправив программу в Microsoft, сообщил, что намерен опубликовать ее в январе этого года.

Однако, из-за досадного недоразумения, ему пришлось сделать это немного раньше.

Дело в том, что все файлы программы и результаты тестов упомянутой ошибки хранились на сервере. Но, файлы, случайно, были проиндексированы поисковой машиной Google, в результате чего попали в глобальную сеть. Первого января, он обнаружил, что доступ к ним получили лица, использующие китайские IP адреса, о чем известил Microsoft. Стоит заметить, что последние, после того как стало об уязвмимости, просили разработчика не публиковать програму до выхода обновления для обозревателя.

Помимо Internet Explorer, утилита способна определять наличие критических ошибок и в других веб-брузерах, например Opera и Firefox. Об этом разработчк упомянул в своем обращении к компании, сообщив, что подобные уязвимости, найденные в упомянутых приложениях, давно были устранены.

В Microsoft же полагают, что ошибка в IE не сопоставима с уязвимостями в других обозревателях, так как использовалась старая версия утилиты. Кроме того, случаев эксплуатации этой ошибки выявлено не было, да и жалоб от пользователей не поступало. Однако работы по устранению ошибки ведутся и патч планируется выпустить 11 января.

Не просто сканер, а разбор находок: SASTAV вынесли в формат ИБ-сервиса

ShiftLeft Security, разработчик платформы анализа защищённости исходного кода SASTAV, объявила о партнёрстве с провайдерами управляемых сервисов ИБ, включая системного интегратора УЦСБ. Теперь заказчики смогут передавать проверку кода и валидацию уязвимостей внешним экспертным командам.

Модель рассчитана на одну из частых проблем при работе с SAST-инструментами — большое количество ложноположительных срабатываний.

Вместо того чтобы отдавать заказчику сырой поток предупреждений, сервис предполагает полный цикл проверки: код загружается в защищённый контур платформы, проходит автоматизированный анализ небезопасных паттернов, зависимостей и конфигураций, а затем результаты дополнительно проверяют эксперты.

На выходе компания получает не просто список технических алертов, а подтверждённые уязвимости с приоритизацией, описанием возможного влияния на бизнес и рекомендациями по исправлению. Это должно снизить нагрузку на внутренние ИБ-команды и разработчиков, которым обычно приходится тратить время на разбор нерелевантных находок.

SASTAV может анализировать разные части приложения: бэкенд-сервисы, frontend, API-контуры и инфраструктурные манифесты. При оценке учитываются архитектура и бизнес-логика конкретного проекта, а критичность находок ранжируется с учётом вероятности эксплуатации.

Услуга будет доступна в двух форматах: как разовый аудит перед релизом, сертификацией или внешней проверкой, а также как регулярный сервис с согласованной периодичностью. В рамках подписки или отдельного контракта можно провести повторную проверку, чтобы подтвердить устранение найденных проблем.

Границы работ, технологический стек и объём проверяемого кода фиксируются в техническом задании. Такой формат позволяет компаниям получать внешнюю оценку защищённости разработки без необходимости полностью переносить эту нагрузку на собственные ИБ-ресурсы.

RSS: Новости на портале Anti-Malware.ru