Шесть уязвимостей, которые никто не должен был знать. Microsoft отчитала хакеров за публикацию 0Day
NewsMakerКак безответственное раскрытие уязвимостей превращает багхантеров в невольных сообщников.
Microsoft раскритиковала то, что сведения о нескольких уязвимостях нулевого дня опубликовали, не уведомив компанию заранее. В Microsoft заявили, что такой подход поставил клиентов под лишний риск, поскольку злоумышленники могли получить технические подробности до выхода исправлений.
Компания напомнила , что обычно работает со специалистами по безопасности по модели согласованного раскрытия уязвимостей. Такой порядок предполагает, что авторы находок сначала передают сведения разработчику, чтобы тот успел оценить проблему, подготовить исправление и только потом раскрыть детали публично.
По словам Microsoft, такой подход помогает выпускать обновления для затронутых служб до того, как демонстрационный код попадёт к злоумышленникам. Компания также заявляет, что в рамках такой работы выплачивает вознаграждения тем, кто ответственно сообщает об уязвимостях, и публично отмечает вклад специалистов.
В Microsoft назвали шесть уязвимостей, сведения о которых раскрыли без согласования: RedSun, BlueHammer https://www.securitylab.ru/news/571682.php , UnDefend , YellowKey, GreenPlasma и MiniPlasma . Компания утверждает, что её команды безопасности работают над тем, чтобы оценить последствия, защитить клиентов и подготовить обновления.
Microsoft выступила против того, чтобы публиковать демонстрационный код для неисправленных уязвимостей, поскольку это может помочь преступникам. В компании заявили, что такие действия имеют реальные последствия, поскольку злоумышленники постоянно ищут слабые места для атак на Microsoft и её клиентов.
Корпорация также напомнила о том, как её подразделение борется с цифровой преступностью. Оно продолжит добиваться того, чтобы злоумышленников и тех, кто им помогает, привлекали к ответственности, при необходимости взаимодействуя с правоохранительными органами в разных странах.
При этом Microsoft заявила, что готова к диалогу с сообществом и продолжит принимать сообщения об уязвимостях через публичный портал для специалистов, независимо от того, как прежде складывалось взаимодействие, и от репутации отправителя. Компания подчеркнула, что поддерживает тех, кто ответственно исследует безопасность, и намерена как можно быстрее проверять сообщения, устранять проблемы и выпускать обновления для клиентов.
Microsoft раскритиковала то, что сведения о нескольких уязвимостях нулевого дня опубликовали, не уведомив компанию заранее. В Microsoft заявили, что такой подход поставил клиентов под лишний риск, поскольку злоумышленники могли получить технические подробности до выхода исправлений.
Компания напомнила , что обычно работает со специалистами по безопасности по модели согласованного раскрытия уязвимостей. Такой порядок предполагает, что авторы находок сначала передают сведения разработчику, чтобы тот успел оценить проблему, подготовить исправление и только потом раскрыть детали публично.
По словам Microsoft, такой подход помогает выпускать обновления для затронутых служб до того, как демонстрационный код попадёт к злоумышленникам. Компания также заявляет, что в рамках такой работы выплачивает вознаграждения тем, кто ответственно сообщает об уязвимостях, и публично отмечает вклад специалистов.
В Microsoft назвали шесть уязвимостей, сведения о которых раскрыли без согласования: RedSun, BlueHammer https://www.securitylab.ru/news/571682.php , UnDefend , YellowKey, GreenPlasma и MiniPlasma . Компания утверждает, что её команды безопасности работают над тем, чтобы оценить последствия, защитить клиентов и подготовить обновления.
Microsoft выступила против того, чтобы публиковать демонстрационный код для неисправленных уязвимостей, поскольку это может помочь преступникам. В компании заявили, что такие действия имеют реальные последствия, поскольку злоумышленники постоянно ищут слабые места для атак на Microsoft и её клиентов.
Корпорация также напомнила о том, как её подразделение борется с цифровой преступностью. Оно продолжит добиваться того, чтобы злоумышленников и тех, кто им помогает, привлекали к ответственности, при необходимости взаимодействуя с правоохранительными органами в разных странах.
При этом Microsoft заявила, что готова к диалогу с сообществом и продолжит принимать сообщения об уязвимостях через публичный портал для специалистов, независимо от того, как прежде складывалось взаимодействие, и от репутации отправителя. Компания подчеркнула, что поддерживает тех, кто ответственно исследует безопасность, и намерена как можно быстрее проверять сообщения, устранять проблемы и выпускать обновления для клиентов.