Немецкая компания-разработчик программного обеспечения запугала судом
исследователя безопасности, конфиденциально сообщившем о критической уязвимости
одной из её программ.

На сообщения исследователя под ником "Acidgen" о наличии уязвимости,
связанной с переполнением буфера в программе компании Music Maker 16,
специалисты немецкой компании Magix AG ответили угрозой. Acidgen предупредил
представителей Magix об уязвимости в нескольких сообщениях, одно из которых
содержало proof-of-concept код, открывавший калькулятор Windows, что являлось
знаком того, что уязвимость могла быть использована для выполнения произвольного
кода на компьютере жертвы.

Кроме того Acidgen предложил способ устранения уязвимости. Он также рассказал
представителям компании о своих планах разгласить подробности уязвимости сразу
после выхода исправления.

И тут со стороны Magix AG начались проблемы.

"MAGIX против Ваших намерений выпустить эксплоит в открытый доступ и тем
самым вызвать невосполнимый ущерб", — написал юрист компании. "Как Вам должно
быть известно, выпуск программного обеспечения, преднамеренно направленного на
прерывание нормальной работы компьютера, преследуется законом (в пример
приведена статья из уголовного права Германии: Sec. 202C I No. 2 German Criminal
Law). Кроме того, данное объявление вместе с предложением устранить
неисправность с Вашей помощью может рассматриваться как попытка вымогательства".

В письме сообщалось, что Magix "предпримет все необходимые правовые меры" и
"проинформирует производителей антивирусного программного обеспечения, что на
базе этого кода может быть разработан новый вирус".

В итоге Acidgen отправил разъяснение и попросил отметить следующее: "Я не
спрашивал их, нужна ли им помощь в устранении их уязвимости, или в создании
какой-либо программы. Я лишь спросил, не нуждаются ли они в фаззинг-услугах. Я
не указывал ни имени компании, ни когда услуги могут быть предоставлены, ни
каким образом. Они просто предположили, что у меня есть свой бизнес, из-за
LinkedIn. Они, кстати, сами попросили разработать PoC код для них".



Оставить мнение