Используемая хакерами
уязвимость в браузере Internet Explorer, о которой компания Microsoft сообщила
вчера, могла быть ей известна уже на протяжении 18 месяцев или более того.
В выпущенном вчера руководстве корпорация поблагодарила за предоставление
информации о баге двух специалистов – Райана Смита и Алекса Уиллера, работавших
ранее в IBM ISS X-Force. Впоследствии Алекс Уиллер ушел оттуда и в январе 2008
года продолжил карьеру в TippingPoint DVLabs. Он подтвердил, что именно они
обнаружили уязвимость, однако назвать конкретные сроки отказался, ссылаясь на
подписанное соглашение о неразглашении. Тем не менее, Уиллер сообщил, что он
работал над этой проблемой еще до своего перехода в DVLabs.
Кроме того, присвоенный данной уязвимости номер (CVE-2008-0015) указывает на
то, что она была зарегистрирована в начале 2008 года, а согласно базе данных,
этот номер был зарезервирован 13 декабря 2007 года.
В ISS X-Force не смогли сразу подтвердить дату сообщения о баге, отметив при
этом, что в понедельник компания выпустила свое собственное руководство, в
котором сообщила о том, что хакеры используют данный баг по крайней мере с
девятого июня 2009 года.
Отметим, что корпорация Microsoft не отвечает на запросы о том, когда ей
стало известно об уязвимости и почему она не пропатчила ее раньше.
Впрочем, по мнению Уиллера, уже не важно, когда стало известно об этой дыре,
важнее другое – баг очень серьезен и его легко использовать. Для успешной работы
эксплоита не понадобится даже специальный сервер, поскольку жертве достаточно
будет лишь посетить опасную страницу. Несмотря на то, что вчера компания
Microsoft предложила временное решение проблемы, добавляющее стоп-биты в ActiveX
и предотвращающее практические атаки, Уиллер полагает, что наилучшим решением
будет смена браузера.