Вслед за последним выпуском патчей Adobe для некоторых из продуктов, началась
дискуссия, инициированная исследователем из Google Тависом Орманди, который
заявил, что он сам уведомил компанию о 400 уязвимостях, обнаруженных им в Flash
Player, но Adobe не опубликовала сведений о них.

В действительности, компания Adobe в последнем выпуске перечислила лишь 13
исправленных ошибок в Flash Player, а другие не документировала.

Дискуссия продолжилась тем, что некоторые из исследователей Google (включая
Орманди) раскрыли, что обсуждаемые баги были обнаружены в результате
использования фаззинга.

"Первоначальный запуск тестирования привел к обнаружению примерно 400 ошибок,
которые после первичной сортировки Adobe были зарегистрированы как 106 отдельных
багов. Поскольку эти баги были устранены, многие из недостатков были
идентифицированы как повторные, не отловленные в ходе первичной проверки", —
пояснили исследователи.

"Не было осуществлено никакого анализа, чтобы определить, сколько из
установленных сбоев могут быть действительно эксплуатируемыми. Однако каждый
сбой был расценен как потенциально эксплуатируемый и устранен Adobe. В конечном
счете, в обновление для Flash Player, выпущенном Adobe ранее на этой неделе,
было в код внесено около 80 изменений для устранения этих багов".

После молчания относительно этого вопроса, компания Adobe решила предоставить
объяснение. Согласно Computerworld, компания признала, что Орманди сообщал о 80
багах в Flash Player, но оправдала свое решение не описывать все уязвимости в
выпущенных бюллетенях безопасности тем, что она обычно не раскрывает и не
упоминает уязвимости, обнаруженные самой компанией или ее партнерами.

Также возникает вопрос, все ли эти 80 ошибок могут привести к эксплуатируемым
уязвимостям. Насколько понятно из политики Adobe, опасны только те уязвимости,
которым был присвоен CVE-номер.

Оставить мнение