Хакер #305. Многошаговые SQL-инъекции
Специалист по безопасности Тэвис Орманди (Tavis Ormandy) из компании Google опять отличился. Он опубликовал 0day-уязвимость для Windows, не сообщив предварительно о ней в компанию Microsoft.
Три года назад компания Microsoft подвергла критике Орманди, который сообщил об уязвимости в Microsoft 5 июня и опубликовал информацию в открытом доступе 9 июня.
Сейчас ситуация практически повторилась с той лишь разницей, что Тэвис вовсе не потрудился сообщать что-то в Microsoft. В списке рассылке Full Disclosure он написал, что у него «нет свободного времени, чтобы разбираться в глупом коде Microsoft», так что он не смог оформить как следует сообщение с описанием уязвимости. Вместо этого, Тэвис просто прислал в рассылку Full Disclosure фрагмент кода с «очевидным багом win32k!EPATHOBJ::pprFlattenRec». Первое письмо пришло 17 мая, и в нем исследователь обратился ко всем коллегам с призывом посмотреть код и подумать, как можно эксплуатировать данную уязвимость.
Спустя две недели, 2 июня, Тэвис Орманди опубликовал уже готовый эксплойт, с помощью которого осуществляется эскалация привилегий в Windows (см. скриншот).
Файл ComplexPath_c.
По словам автора, злоумышленники уже используют эту уязвимость и сделали эксплойт еще раньше него, так что публикация информации в такой ситуации вполне оправдана. Компания Google недавно уменьшила срок молчания для активно эксплуатируемых уязвимостей с 60 до 7 дней.