Csúnyán spórol a biztonsági kutatókon a Microsoft
Computer hacker, conceptual image.
Nézze meg a sporthíreket is
Iratkozzon fel hírlevelünkre Nézze meg a sporthíreket is
Csatlakozzon hozzánk közösségi oldalainkon is!
Másfél éve meghökkentően alacsony jutalmakkal szúrja ki a szemeiket.
Nagy megbotránkozást keltett tegnap a hír, miszerint Abdelhamid Naceri biztonsági kutató a szabványos iparági eljárásokat figyelmen kívül hagyva példakóddal együtt nyilvánosságra hozott egy sebezhetőséget, amellyel jogosultságkiterjesztés érhető el a Windows összes támogatott változatán. A hiba eredeti változatát jelezte a Microsoftnak, az elvileg ki is javította a Windowsokhoz novemberben kiadott összegző frissítésekben, ám rossz munkát végzett, a kutatónak sikerült kikerülnie a patchet.
A támadó kód publikálása rendkívül szokatlan, Naceri azzal indokolta a lépést, hogy a bug bounty programján keresztül a Microsoft túlságosan keveset fizet a sérülékenységeket felfedezett biztonsági kutatóknak. Ezzel az akcióval próbálta felhívni a figyelmet a problémára, ám ezzel további veszélynek tette ki a Windowst használó magánszemélyeket, vállalkozásokat, állami szervezeteket.
Az egyetlen jó hír, hogy sikerült elérnie a célját, a hírek szerint 2020 áprilisában a Microsoft tényleg drámaian visszavágta a biztonsági kutatóknak kifizetett jutalmak összegét. A WannaCry ransomware megállítása kapcsán híressé vált Marcus Hutchins például tavaly júliusban panaszkodott, hogy az általa bejelentett nulladik napi hibáért eredetileg 10 ezer dollár jutalmat fizetett volna cég, ám a megváltozott szabályok miatt végül ezer dollárt adott neki.
Egy másik kutató szemét a Microsoft most novemberben 5000 dollárral szúrta ki egy szerveres környezetben kihasználható, távoli kódfuttatásos sebezhetőségért, ami a helyzet súlyosságát tekintve meghökkentően alacsony összeg.
Az alacsony jutalmak komoly aggodalmakat vetnek fel a Microsoft bug bounty programjának komolyságával kapcsolatban. A kutatók nagy szakértelmet igénylő és rendkívül időigényes munkát végeznek, a cég pedig megengedheti magának, hogy tisztességes jutalmakkal honorálja az erőfeszítéseiket.
A sérülékenységek jelentésével a biztonsági kutatók globálisan több milliárd személy és megszámlálhatatlan mennyiségű szervezet érdekeinek a megvédésében nyújtanak óriási segítséget.
Senkinek sem érdeke, hogy a túlságosan alacsony jutalmak miatt befejezzék a sebezhetőségek keresését a Microsoft termékeiben, egyesek ne adj' isten inkább bűnözőknek, államilag szponzorált hackereknek értékesítsék a talált hibákat a sötét weben.
Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!
origo.hu
Újabb leleplezés: A NATO már bevonult Ukrajnába – küszöbön a III. világháború
borsonline.hu
Leesik az állad: Teljesen átalakult Nagy Melanie - Videó
borsonline.hu
Durva együttállásra figyelmeztet a magyar főboszorkány: "Hatását az egész emberiség érezni fogja"
mandiner.hu
Eddig szidták érte, most fél Európa Magyarország útját választotta
ripost.hu
Jó híreket kapott a drukkerlány, aki a kemoterápia miatt ajándékozta el a meccsjegyét
hirtv.hu
Újabb feljelentés Magyar Péter ellen
metropol.hu
Olyan merészen felvágott ruhába bújt Stana Alexandra, hogy simán belátni a szoknyája alá – fotó
nemzetisport.hu
Városi riválisa legyőzésével szerezte meg 20. olasz bajnoki címét az Internazionale
origo.hu
Megdöbbentő, új képeken a Melrose Place sorozat egykor gyönyörű színésznői
videa.hu
Káposztás kofta, sült szeretetgolyók fűszeres paradicsommártásban -receptvideó (hirdetés)
jatek.hirfm.hu
Nyerő ajándékok. Vigye el őket a Hír FM játékában (hirdetés)
origo.hu
