Опрос

Вы участвуете в программе Windows Insider?

Комментарии

mex ⁰

Всем привет. Весьма жаль. Но все равно был рад стать частью проекта @Nickolay и помогать в модерировании. Mex

24.10.23 12:54

Благодарим

За активность и полезность в апреле

Последние видео

Обновление Windows 11 Moment 1

20.10.2022

Xbox Elite Wireless Controlle...

08.09.2022

Анимированные иконки в Windows 11 25188

26.08.2022

Новая анимация Панели задач в Windows 11 25179

12.08.2022

Microsoft Cameo в PowerPoint ...

07.06.2022

Свежие статьи

16.09.2022 Windows 11 - Активация полноэкранной Панели виджетов в Windows 11 25201 и выше

14.09.2022 Windows 11 - Активация поисковой строки Панели задач в Windows 11 25197 и выше

13.06.2022 Windows 11 - Включение вкладок в Проводнике Windows 11

20.05.2022 Windows 11 - Включение строки поиска в Интернете на Рабочем столе Windows 11

18.01.2022 Система Windows - Как запаролить папки и файлы на компьютере (Windows 10 и др)

Эксперт по безопасности опубликовал эксплойт для опасной уязвимости в Windows 10/11

24.11.2021 16:36 | Nickolay

2715

- T

Эксперт по безопасности Абдельхамид Насери (Abdelhamid Naceri) обнаружил в Windows 10/11 опасную уязвимость и без предварительного уведомления Microsoft, чтобы та могла исправить ее, что обычно принято в таких случаях, опубликовал рабочий эксплойт на GitHub. Это стало следствием того, что компания из Редмонда существенно снизила вознаграждение за обнаружение уязвимостей в Windows.

В интервью одному западному интернет-изданию Абдельхамид пояснил свой поступок обидой и злостью на компанию. Он сообщил, что те уязвимости за которые исследователи безопасности обычно получали 10000 долларов США теперь оцениваются всего в 1000 долларов. Таким образом он отомстил компании за ее экономию в вопросах безопасности.

В качестве эксплойта для уязвимости нулевого дня используется установочный MSI файл, который запускается даже если политикой безопасности запрещена возможность устанавливать новые приложения обычным пользователям. В октябре Microsoft уже исправила опасную уязвимость CVE-2021-41379, но Насери смог найти обходной путь после изучения выпущенного обновления безопасности и вновь воспользоваться ей. Как быстро компания выпустит новое обновление пока неясно.

Верно ли я понимаю то, что значительное сокращение размера денежного вознаграждения "за найденные дыры" связано с тем, что желающих их найти стало значительно больше? (формально их же, даже под крылом самих мелко-мягких сколько? 3 миллиона?). Или же это банальное "стремление к экономии"?

24.11.21 19:48

Denis_Ignatchik ⁺³⁰¹

Не в сети

Illiryel, скорее - глобальная тенденция. Практически все крупные вендоры сейчас или урезали выплаты или просто игнорируют присылаемые ошибки.
Подозреваю, что тут целая цепочка взаимовлиящих обстоятельств:
Индусские программисты, пишущие говнокод, в котором легко найти дырки.
Увеличение числа исследователей, после того, как вендоры пооткрывали программы денежного возмещения за найденные баги.
Вал сообщений, ведущих к захлёбыванию инженеров компаний-вендоров + слишком быстрое исчерпание фонда выплат (вспоминаем про увеличение числа т.н. "белых хакеров").
Мировой кризис с падением доходов, который привел к урезанию фондов и одновременному увеличению числа исследователей, желающих подзаработать.
И т.д. и т.п.

24.11.21 23:15

Illiryel ⁺¹⁴³

Не в сети

Denis_Ignatchik писал:
Мировой кризис с падением доходов, который привел к урезанию фондов

аааа... каюсь, (слона-то я и не приметил и) забыл =) у нас же "бакс дохнет" (дефолт во все поля и особа получавшая ленинскую премию в студенческие годы и сейчас оказавшаяся на ведущем финансовом посту в США). Понимаю. В таком случае "хорошо, что они вообще платят" =)

24.11.21 23:33

Для возможности комментировать войдите в 1 клик через

По теме

Акции MSFT

420.55 0.00

Акции торгуются с 17:30 до 00:00 по Москве

Что почитать