ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Как выясняется, о дыре в Office Web Components, которую Microsoft закрыла в прошлый вторник, корпорации сообщили уже более двух лет назад.

Время, которое потребовалось компании на выпуск патча, заставило экспертов предположить, что специалисты из Редмонда вообще озаботились его созданием лишь после того, как в последние недели хакеры начали эксплуатировать данную уязвимость.

Выпуск патча MS09-043 закрыл уязвимость нулевого дня, ставшую средством проведения атак при загрузке с вредоносных веб-страниц. В общей сложности патч закрыл четыре уязвимости в элементах управления Office ActiveX, включая эту уязвимость нулевого дня. До момента выхода патча пользователи вынуждены были использовать обходные пути, предложенные Microsoft в июльском руководстве.

Данный баг был обнаружен исследователем Питером Вройденхилом, после чего в марте 2007 года благодаря наличию инициативы TippingPoint Zero Day о его существовании уведомили корпорацию Microsoft. Список ожидающих решения уведомлений от TippingPoint свидетельствует о том, что целый ряд разработчиков закрывают баги высокой степени критичности лишь через год после получения соответствующего уведомления. Помимо Microsoft, патчи для серьезных уязвимостей, о наличии которых они были предупреждены более года назад, еще предстоит выпустить также компаниям CA, HP, IBM, Symantec, Mozilla и Adobe.

--------------------
http://www.xakep.ru/post/49210/default.asp