Бесплатно Экспресс-аудит сайта:

11.02.2015

Устранение уязвимости JASBUG в Active Directory заняло у Microsoft один год

Во вторник, 10 февраля, разработчики компании Microsoft выпустили исправления безопасности для продуктов компании, в том числе устранили три бреши с критическим рейтингом опасности. При этом одна из уязвимостей ( CVE-2015-0008 ) была выявлена экспертами JAS Global Advisors еще в прошлом году.

Как пишет исследователь Джефф Шмидт (Jeff Schmidt), несмотря на то, что брешь присутствовала в компонентах ядра операционной системы Windiows с 2000 года, о случаях ее эксплуатации ничего неизвестно. Вместе с тем, сам Шмидт обнаружил названную JASBUG уязвимость и сообщил о ней представителям Microsoft еще в январе 2014 года.

Исследователь утверждает, что срок работы над исправлением в один год является приемлемым, поскольку ошибка представляет собой MiTM-атаку в Active Directory, возникшую в результате неправильной реализации компонента. Разработчикам необходимо было наладить корректную работу клиентских систем, которые неправильно проводили проверку аутентичности сервера.

Напомним, что недавно компания Google была  раскритикована со стороны Microsoft из-за нескольких случаев преждевременного раскрытия технических подробностей об уязвимостях в Windiows. Администраторы Project Zero, в свою очередь, настаивают на том, что их система работает в автоматическом режиме и все имеющиеся данные публикуются в открытом доступе спустя ровно 90 дней с момента извещения разработчика.