11.03.2015 Новости, БезопасностьКорпорация Microsoft выпустила патч, устраняющий критически важную уязвимость, благодаря которой стала возможной пресловутая атака Stuxnet. Большинство людей в мире полагали, что эта уязвимость исправлена еще в 2010 г. Червь Stuxnet представляет собой эксплойт, который был применен в 2010 г. против ядерного проекта Ирана с использованием уязвимости в Windows. Эта уязвимость была идентифицирована как CVE-2010-2568, и многие полагали, что Microsoft исправила код в октябре 2010 г. Тем не менее, спустя более четырех лет, в рамках реализуемой компанией HP программы Zero Day Initiative (ZDI) было обнаружено, что исправление CVE-2010-2568 фактически не было доведено до конца, и все это время соответствующей уязвимостью можно было воспользоваться. «HP сообщила об этом в Microsoft 8 января 2015 г.», — рассказал представителю eWeek Брайан Горенц, менеджер по исследованию уязвимостей из подразделения HP Security Reseach. Согласно политики ZDI, информация о выявленной уязвимости доводится до вендора и обнародуется только через 120 дней после этого, если соответствующий патч не был подготовлен в течение данного срока. Выпустив необходимое обновление сейчас, Microsoft уложилась в указанный срок, подтвердив тем самым серьезность проблемы, пояснил Горенц. При этом вместо обновления информации по уязвимости CVE-2010-2568 ей был присвоен новый идентификатор CVE 2015-0096. «CVE 2015-0096 — это уязвимость в операционной системе Microsoft Windows, позволяющая внешним атакующим запустить ...
читать далее.
