Исследовательская компания три года хранила в тайне уязвимость Internet Explorer

На прошедшем в марте нынешнего года очередном соревновании «легальных хакеров» Pwn2Own французская исследовательская компания VUPEN сумела получить весьма внушительную сумму призовых в 300 тысяч долларов, продемонстрировав уязвимости в Adobe Reader, Internet Explorer, Mozilla Firefox и Adobe Flash. В принципе, это абсолютно нормальная практика: подобные конкурсы проводятся и спонсируются лидерами интернет-рынка именно для того, чтобы укрепить безопасность своих продуктов.

Однако позиция участников соревнований выглядит все более сомнительной с этической точки зрения. Как сообщили буквально вчера представители самой VUPEN, об одной из уязвимостей браузера Internet Explorer – позволяющей обходить технологию запуска подозрительных приложений в «песочнице» - им было известно уже более трех лет. Все это время VUPEN не раскрывала информацию, вероятно, дожидаясь, пока находка вырастет в цене. Эксперты критикуют такой подход к вопросам кибербезопасности. Они отмечают, что за три года уязвимость вполне могла быть обнаружена не только экспертами VUPEN, но и хакерами, что принесло бы множество проблем ни в чем не повинным пользователям. Вместо того, чтобы оповещать разработчиков ПО о найденных уязвимостях, исследователи все чаще пытаются прежде всего извлечь из них коммерческую выгоду, - констатируют многие наблюдатели.