Исправления полтора года ждут

Исследователи Кристиан Хермансен и Рон Перрис выложили в открытый доступ описание опасной уязвимости нулевого дня, позволяющей дистанционное исполнение произвольного кода на затронутых ею устройствах. Примечательно, что уязвимость была обнаружена ими в защитном ПО от крупной и весьма авторитетной компании FireEye. Как написал в сопровождающем публикацию тексте Кристиан Хермансен, исследователи на протяжении 18 месяцев (!) пытались уведомить компанию об уязвимости, однако так и не смогли добиться никаких результатов. В итоге они просто устали ждать, когда уязвимость будет ликвидирована, и опубликовали ее описание на ресурсе Exploit Database.

На сей раз реакция последовала незамедлительно. Компания FireEye сообщила, что уже связалась с Хермансеном и высоко ценит старания исследователей по обнаружению уязвимостей в своих инструментах. В то же время представители FireEye уверяют, что речь идет о недоразумении, поскольку компания владеет специальным порталом, предназначенным именно для сообщений о найденных уязвимостях. Трудно поверить, что такие квалифицированные специалисты как Хермансен и Перрис, не раз обнаруживавшие ранее весьма сложные и глубоко запрятанные уязвимости, не смогли отыскать этот портал в сети.