Znajdź zawartość

W Zero Day Initiative (ZDI) firmy Tipping Point, największym programie w ramach którego odkrywcy luk otrzymują wynagrodzenie, wprowadzono poważne zmiany. Teraz producenci dziurawych programów będą mieli 6 miesięcy na ich załatanie. Po pół roku informacje o dziurach zostaną upublicznione. Tipping Point kupuje od niezależnych badaczy informacje, przekazuje je producentom wadliwego oprogramowania i sama opracowuje też zabezpieczenia oferowane w swoich własnych aplikacjach. Dotychczas w ramach ZDI informacje o dziurach utajniano do czasu publikacji łaty. Tylko od woli producenta zależało, jak szybko udostępni poprawkę. Teraz uległo to zmianie. Producenci mają jedynie pół roku na przygotowanie łat. Innymi słowy, dziury, które obecnie znajdują się w bazie danych ZDI powinny zostać załatane do 4 lutego przyszłego roku. Po sześciu miesiącach Tipping Point będzie wywierało nacisk na producentów publikując "ograniczone informacje" o luce. To "ograniczenie" będzie inne dla każdej luki. Jak zapewniają przedstawiciele Tipping Point zmiana zasad programu ZDI nie ma nic wspólnego z szeroko dyskutowanym postępowaniem Tavisa Ormandy'ego z Google'a, który upublicznił informację o dziurze zaledwie pięć dni po tym, jak poinformował o jej istnieniu Microsoft. Obecnie w bazie danych ZDI znajdują się informacje o 31 krytycznych dziurach, o których twórcy wadliwego oprogramowania wiedzą co najmniej od roku.

Mozilla ustanowiła swój rekord pobrań aplikacji w ciągu 24 godzin o premiery. Najnowszą wersję Firefoksa, oznaczoną numerem 3, pobrano w tym czasie ponad 8 milionów razy. Sukces przyćmiła jednak informacja, że zaledwie 5 godzin po udostępnieniu przeglądarki znaleziono w niej pierwszą krytyczną dziurę. Luka została znaleziona przez ekspertów z Zero Day Initiative, organizacji założonej przez TippingPoint i 3Com. Oczywiście specjaliści nie zdradzają szczegółów na jej temat, gdyż nie istnieje jeszcze łatająca ją poprawka. Ze skąpych informacji można wnioskować, że luka umożliwia wykorzystanie odpowiednio spreparowanej witryny WWW do wstrzyknięcia i wykonania na komputerze ofiary dowolnego kodu. Dziura występuje też w Firefoksie 2.