Датская компания Secunia, которая специализируется на сборе информации об уязвимостях в разных программных продуктах, попала в нелепую ситуацию. Она совершенно случайно отправила в открытую почтовую рассылку письмо с описанием 0day-уязвимости и эксплоита.

Вчера Secunia принесла официальные извинения за этот инцидент и объяснила, что ошибка произошла из-за срабатывания функции автозаполнения в почтовой программе. Начальник отдела Advisory Team по имени Чайтанья Шарма (Chaitanya Sharma) вместо отправки личного письма автору эксплоита отправил письмо в открытый список рассылки.

Эксплоит попал в компанию Secunia по программе вознаграждений Secunia Vulnerability Coordination Reward Program (SVCRP).

В данном случае баг обнаружен в бесплатной программе для просмотра графики ERDAS ER Viewer. Это не слишком известная программа, которая позволяет открывать для просмотра файлы в форматах JPEG 2000, ECW, UDF, ER Mapper и в других экзотических форматах графики. Разработчик — американская компания Intergraph, создающая софт для армии и разведки США, а также для других заказчиков в госсекторе.

Эксплоит предусматривает создание графического файла ERS, открытие которого в программе ERDAS ER Viewer вызывает переполнение буфера в одной из функций библиотеки ermapper_u.dll.

Разработчики программы ERDAS ER Viewer уже уведомлены об уязвимости и скоро выпустят патч.



Оставить мнение