O código de exploração lançado para não corrigida falha do Internet Explorer

Lembre-se quando o Internet Explorer usado para derrubar assim;? (Imagem via Dell.com)

Pesquisadores da gigante dos computadores HP publicou o código de exploração que pode ser usado para atacar uma fraqueza no Internet Explorer, depois que a Microsoft recusou-se a emitir um patch.

Em um post de blog, Dustin Childs, HP desenvolvedor de conteúdo de segurança sênior, disse que o movimento para publicar a falha não estava fora de “despeito ou malícia”, mas estava de acordo com a sua própria política de divulgação.

A China está se afastando de marcas de tecnologia dos EUA para compras estatais como revelações da NSA continuar a fazer manchetes nos jornais em todo o mundo.

“Microsoft confirmou em correspondência com a gente que não pretende tomar medidas a partir desta pesquisa, sentimos a necessidade de fornecer esta informação ao público”, disse Childs. Isso é apesar da Microsoft no início deste ano que concede o time $ 125.000 – que mais tarde foi doado – para descobrir a falha.

O bug permite que um atacante de bypass Address Space Layout Randomization (ASLR), que atua como uma das muitas linhas de defesa no navegador popular. Mas a falha afeta apenas sistemas de 32 bits, o que os pesquisadores da HP disse ainda afeta milhões de sistemas, ainda que muitos sistemas hoje são de 64 bits.

Childs, que costumava trabalhar na Microsoft, disse que a declaração foi “tecnicamente correta”, mas criticou a decisão da empresa de não corrigir a falha.

Em resposta, a equipe lançou uma prova-de-conceito explorar para Windows 7 e Windows 8.1.

Segurança; Casa Branca nomeia primeiro CIO Federal de Segurança; Segurança; Pentágono criticado por resposta cyber-emergência por watchdog governo; segurança; Chrome para iniciar conexões HTTP rotulagem como não segura; segurança; O Projeto Hyperledger está crescendo a todo o vapor

Não concordamos com essa opinião e estão liberando a informação PoC para a comunidade na crença de que em causa os usuários devem ser o mais informado possível, a fim de tomar as medidas que achar apropriado para suas próprias instalações.

Os pesquisadores justificou a medida, argumentando que, a fim de proteger eficazmente um sistema devem “entender completamente a ameaça.”

“Achamos que é importante que todos saibam sobre a ameaça para que pudessem entender melhor o risco real para a sua rede”, escreveu Childs.

Nós já estendeu a mão para a Microsoft, mas não ouviu de volta no momento da escrita.

Casa Branca nomeia primeiro Chief Information Security Officer Federal

Pentágono criticado por resposta cyber-emergência por watchdog governo

Chrome para iniciar conexões HTTP rotulagem como não segura

O Projeto Hyperledger está crescendo a todo o vapor