Новости Российский багхантер заставил Microsoft устранить уязвимость

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
Специалист по анализу защищенности в SolidLab Всеволод Кокорин, также известный как Slonser, обнаружил ошибки в безопасности в Microsoft.

Одна из найденных уязвимостей дает возможность рассылать письма пользователям почтового клиента, выдавая себя за учетные записи электронной почты Microsoft. Если бы злоумышленники воспользовались это дырой в безопасности, то смогли бы сделать фишинговые письма более правдоподобными.

Игнорировать нельзя исправить: Российский багхантер заставил Microsoft устранить уязвимость


По исследователя, он сообщил о найденных ошибках в компанию Microsoft, но его проигнорировали и закрыли тикеты без объяснения причин. Тогда он выступил на прошедшей конференции PHD2 с докладом, в котором осветил уязвимости в C# и сервисах Microsoft. После выступления Всеволод Кокорин обнаружил еще один баг, который позволяет отправлять письма от любого user@domain и сообщил о нем в Microsoft. Но компания снова не ответила на его сообщения.

Тогда исследователь выложил пост в X (запрещенная на территории Российской Федерации социальная сеть), в котором описал происходящее без технических подробностей, чтобы никто не могу воспользоваться уязвимостью.

Пост набрал 120 тысяч просмотров и привлек внимание СМИ, в том числе и . И только, когда поднялась шумиха и СМИ стали писать об угрозе 400 миллионам пользователей почтового клиента Outlook, Microsoft переоткрыли тикет с последней уязвимостью и начали работу над патчем для уязвимости в C#.

«Случай показал, что вендор может игнорировать тебя до тех пор, пока не начнет нести репутационные риски. Сообщество в этом плане действительно помогает», — прокомментировал ситуацию Всеволод Кокорин.


 
Сверху Снизу