Алексей Рерих
Онлайновый магазин , принадлежащий корпорации , в течение пяти дней остается недоступен из-за ошибки в программном обеспечении сайта.
Через магазин Microsoft распространяет различные программные пакеты, предназначенные для разработчиков ПО, совместимого с продуктами корпорации.
В настоящее время на Developerstore.com можно прочесть лишь: “Магазин разработчика временно недоступен. Спасибо за то, что посетили магазин. Мы приносим свои извинения за то, что не можем помочь вам в настоящее время. Пожалуйста, зайдите попозже”.
Нынешняя ситуация изначально вызвана небезопасностью скрипта, с помощью которого в Developerstore.com осуществлялся поиск по базе данных.
В прошлый четверг некто Цезарь Керрудо сайта информацию о том, что благодаря уязвимости майкрософтовского скрипта злоумышленник может получить доступ к любой информации – не только о продуктах, которые можно приобрести в магазине, но и информацию о самих пользователях магазина, в том числе и конфиденциальную.
Злоумышленник также мог, при желании, получить полный контроль над сервером.
Цезарь Керрудо первоначально обратился в соответствующую службу корпорации, однако оттуда пришел ответ, больше напоминающий автоматическую отписку.
На следующий день Керрудо написал письмо с подробным описанием проблемы уже администратору рассылки SecurityFocus.com Blue Boar, который, в свою очередь, написал в Microsoft о проблеме. И лишь после того, как проблема была устранена (скрипт убрали), Blue Boar опубликовал письмо Керрудо.
Как сообщил в интервью Newsbytes сам Blue Boar, роль цензора ему самому не слишком по душе, однако его сайт читают люди с очень разными намерениями. И опубликовать информацию о том, что система магазина небезопасна, он решился только после того, как получил подтверждение из корпорации о том, что проблема устранена
Сам же Керрудо, не удовлетворенный тем, что его сообщение не появилось на сайте сразу, послал уведомление о дыре на другой сайт, также посвященный безопасности. Свои действия он объясняет просто: на обнаружение этой дыры у него ушло 10 секунд, столько же требуется на то, чтобы устранить проблему. Однако прошло 12 часов после того, как Керрудо сообщил в Microsoft о дыре, но все оставалось по-прежнему.
И лишь после того, как в Microsoft написал Blue Boar, в корпорации устранили проблему “убрав опасный скрипт” и при этом “полностью положив весь сайт”. Который, кстати, продолжает благополучно лежать до сих пор.
NewsBytes также сообщает, что по поводу всего случившегося в Microsoft смогли ответить лишь, что сказать по этому поводу они ничего не могут.
 |
|
| ССЫЛКИ ПО ТЕМЕ |  |
|
|
| МАТЕРИАЛЫ ПО ТЕМЕ | |
ФБР и Пентагон озабочены большой дырой в Windows XP – 24.12.01
Microsoft закрыла все дырки – 17.12.01
Новая дыра от Microsoft: ваши cookies может читать кто угодно – 12.11.01
Microsoft требует держать дыры в секрете – 12.11.01
Microsoft классифицировала свои критические дыры – 16.10.01
Хакер зашел в сеть Microsoft, как ребенок в кондитерскую – 28.08.01
Microsoft выпустил firewall с лазейкой для хакеров – 18.04.01