Уязвимости в повсеместно используемых программных продуктах Microsoft и
неторопливость корпорации с выпуском заплаток создают новый рынок: ошибки
софтверного гиганта оперативно исправляют сторонние компании.
В январе заплатку к уязвимости Windows Meta File выпустил старший разработчик
компании DataRescue Ильфак Гульфанов, а в третьей декаде марта, не дожидаясь
обновления Microsoft 11 апреля, заплатку к критической уязвимости «CreateTextRange»
в браузере Internet Explorer представила компания eEye Digital Security. Ни
Гульфанов, ни eEye не получили прибыли от своей работы, но помогли другим
защититься от хакеров и повысили свою репутацию. Несмотря на отсутствие заплатки
от Microsoft, ничего страшного в интернете не произошло. Но это только на первый
взгляд, утверждает директор по операциям eEye Росс Браун. Год или два назад
любая уязвимость вела к появлению масштабных червей, но сейчас хакерам это стало
невыгодно, поскольку черви — инструмент, скорее, разрушения, нежели
зарабатывания денег. Хакеры занимаются направленными атаками, что незаметно в
мировом масштабе, но довольно болезненно для жертв, говорит Браун.
С момента опубликования на хакерских сайтах программы, эксплуатирующей
уязвимость, 23 марта, в Сети появилось не менее 200 сайтов, на которых
уязвимость срабатывает при их посещении. При этом на компьютере посетителя
незаметно исполняется код, заложенный в страницу хакером. Microsoft посоветовала
пользователям просто отключить JavaScript. Это защищает от уязвимости на 100%,
но в интернете настолько много сайтов использует JavaScript, что веб-серфинг,
особенно пользование различными сервисами (почтой, платежами, форумами, блогами)
становится практически невозможным.