19-летний грузинский хакер Уча Гобеджишвили (Ucha Gobejishvili) не на шутку заинтриговал сообщество ИБ своим неординарным поступком. Два месяца назад он заявился на конференцию по информационной безопасности Malcon с сенсационным докладом о критической 0day-уязвимости в браузере Chrome. Это тем более удивительно, что компания Google выплачивает за такие уязвимости очень большое вознаграждение, так что житель Тбилиси мог бы получить до 60 тысяч долларов. Но в интервью за неделю перед конференцией он сказал, что отказывается от денег — ему нужны только почёт и признание от коллег. Он также добавил, что критическая уязвимость Chrome до сих пор не закрыта, так что доклад не потерял актуальности.
Уязвимость относится к одной из DLL-библиотек, которые поставляются с браузером и которая имеет возможность незаметного скачивания контента с удалённого сервера. Уязвимость работает на большинстве платформ. Это очень похоже на аналогичную 0day-уязвимость в MS Word 2010, которую Гобеджишвили обнаружил ранее и которую можно посмотреть на его Youtube-канале.
Многие с недоверием отнеслись к словам грузинского юноши. Мол, как можно отказаться от таких денег? Однако, небольшое исследование бывших достижений Учи Гобеджишвили показывает, что он вполне достоин искомого почёта. Этот парень уже неоднократно присылал информацию об уязвимостях в Google и получал награды. Более того, на его счету — ряд опасных 0day-уязвимостей в Skype, Firefox и других системах. Некоторые из них показаны на его канале Youtube.
В общем, анонсу Гобеджишвили вполне можно было и поверить. По крайней мере, интрига закрутилась — и все с нетерпением ждали его выступления на конференции Malcon. Развязка оказалась не менее неожиданной, чем сама интрига. Хакер так и не приехал в Нью-Дели на конференцию Malcon: в последний момент его забрали для прохождения срочной службы в грузинской армии.
Таким образом, таинственная 0day-уязвимость в Chrome так и осталась никому не известной загадкой. Представители компании Google сказали, что Гобеджишвили не связывался с ними, так что они и сами с нетерпением ждали конференции Malcon, чтобы узнать о баге. Сегодня вышло очередное обновление браузера Chrome 23.0.1271.91, в котором закрыто семь уязвимостей. Для каждой указаны авторы, и в списке отсутствует Гобеджишвили.
