Хакер #305. Многошаговые SQL-инъекции
Download.com извинился за объединение пакетов открытого программного
обеспечения, в том числе Nmap и VLC, с низкокачественным бесплатным ПО.
Но Шон Мерфи, вице-президент и генеральный менеджер Download.com,
принадлежащего к CNet, защищает политику такой комплектации в общем.
Шум поднялся в понедельник, когда выяснилось, что
пользователи, скачавшие
Nmap, популярный инструмент для сетевого аудита и тестирования на проникновение,
с Download.com, обнаружили у себя панель инструментов Babylon, включенную в
комплект по умолчанию.
Гордон Лион, разработчик Nmap, (так же известный как
Fyodor), выразил свое
возмущение тем, как панель инструментов была навязана пользователям. Панель
инструментов - которая меняет пользовательский опыт работы с браузером,
настройки домашней страницы браузера на MSN и делает Bing поисковой системой по
умолчанию - также предлагалась в комплекте при загрузке пользователями
популярного медиаплеера VLC. Fyodor также утверждает, что инсталлятор
Download.com нарушает авторские права Nmap.
Через несколько часов после его гневного выступления, Microsoft связалась с
Fyodor, и по его словам компания утверждала, что "не имели понятия, что
содействовали распространению открытого троянского программного обеспечения
через Cnet, и что они уже прекратили его распространение". Примерно в это же
время инсталлятор Nmap, доступный на Download.com, переключился на
предоставление "специальных предложений" от Cnet, а после некоторых
дополнительных изменений, в конечном счете, предложил чистую установку, по
крайней мере в случае Nmap.
В заявлении (процитированном ниже), Мерфи сказал, что объединение панели
инструментов с пакетом открытого программного обеспечения было ошибкой:
Объединение этого программного обеспечения было ошибкой с нашей стороны и
мы приносим свои извинения сообществу пользователей и разработчиков за те
волнения, которое оно вызвало. Помимо того, что мы немедленно исключили Nmap из
всех наших менеджеров закачек, мы пересмотрели все файлы с открытым исходным
кодом в нашем каталоге для того, чтобы убедиться, что подобное объединение
больше не повторится. Это политика Download.com - не связывать ПО с открытым
исходным кодом с другими программами, и мы продолжим предпринимать все возможные
усилия, чтобы этого больше не происходило.
Инсталлятор Nmap от Cnet первоначально был определен как троян антивирусами
BitDefender и F-Secure, и как потенциально нежелательная программа антивирусом
Panda, McAfee и другими, согласно первоначальному докладу VirusTotal,
представленному в понедельник. Однако в среду из всех основных поставщиков
антивирусного программного обеспечения только McAfee сообщили о некоторой его
вредоносности.
Мерфи сообщил, что предупреждения антивирусных программ о вредоносности
установки данного ПО были ложной тревогой. Download.com теперь не требует
обязательной регистрации для прямой загрузки файлов с сайтов разработчиков, а не
через свой менеджер закачек.
До сих пор не ясно, хватит ли простых извинений, чтобы поставить точку в этом
конфликте. Собственное бесплатное и пробное ПО до сих пор доступно на
Download.com, и оно по-прежнему будет распространяться в комплекте с пакетом
инсталлятора от Download.com. Пользователи могут от него отказаться, но многие,
по-прежнему, выберут вариант "по умолчанию" и тем самым установят его. Все это
недалеко ушло от автоматической рассылки ненужного ПО, вину за которую ранее
признали за собой Download.com.
Fyodor создал веб-страницу, посвященную этому конфликту, для ссылок на
новостные статьи, а также последние новости по этой теме.