Хакер, скрывающийся под псевдонимом Hack4Life,
опубликовал в списке рассылки Full-Disclosure
информацию о нескольких программных дырах,
взятую из неопубликованных отчетов
организации CERT. Эти отчеты держались в
секрете до того времени, пока не будут
выпущены соответствующие патчи. Доступ к
этим закрытым отчетам хакер, по его
собственным словам, получил, взломав сайт
одного из партнеров CERT - эта организация,
как правило, рассылает свои отчеты
разработчикам программ, чтобы те могли
создать заплатки. Кроме того, ранее широкой
публикации о дырах могут узнать члены
организации ISA (Internet Security Alliance).
Одним из первых информацию об утечке
отчетов CERT опубликовал
сайт CNET News. В редакцию CNET также пришло
письмо от Hack4Life, в котором тот сообщал о
своих успехах и подчеркивал, что не имеет
никакого отношения к CERT. На то момент, хакер
опубликовал информацию из трех отчетов CERT. Первый
из них посвящен ошибке в библиотеке XDR,
разработанной компанией Sun и
использующейся во многих версиях ОС Unix и Linux.
Второй
отчет касается уязвимостей в системе
аутентификации Kerberos. Третья публикация
хакера описывает
дыру в одной из реализаций протокола SSL.
Доступ к этим отчетам до их официальной
публикации имели около 50 компаний.
Разработчики ОС FreeBSD уже отреагировали
на информацию о дырах.
Днем позже издание eWeek опубликовало
материал еще об одном сообщении Hack4Life. На
этот раз хакер описал особенность
механизма перенаправления пользователей с
одной веб-страницы на другую, которую могут
в своих целях использовать мошенники и
компьютерные взломщики. Свои действия Hack4Life
объясняет тем, что первыми о дырах должны
узнавать вовсе не разработчики программ, а
хакеры, которые могут воспользоваться ими
по своему усмотрению. В будущем Hack4Life
обещает публиковать закрытые отчеты CERT
каждую неделю.
