Nagy megbotránkozást keltett tegnap a hír, miszerint Abdelhamid Naceri biztonsági kutató a szabványos iparági eljárásokat figyelmen kívül hagyva, példakóddal együtt nyilvánosságra hozott egy sebezhetőséget, amellyel jogosultságkiterjesztés érhető el a Windows összes támogatott változatán. A hiba eredeti változatát jelezte a Microsoftnak, az elvileg ki is javította a Windowsokhoz novemberben kiadott összegző frissítésekben, ám rossz munkát végzett, a kutatónak sikerült kikerülnie a patchet.
A támadó kód publikálása rendkívül szokatlan, Naceri azzal indokolta a lépést, hogy a bug bounty programján keresztül a Microsoft túlságosan keveset fizet a sérülékenységeket felfedezett biztonsági kutatóknak.
Ezzel az akcióval próbálta felhívni a figyelmet a problémára, ám ezzel további veszélynek tette ki a Windowst használó magánszemélyeket, vállalkozásokat, állami szervezeteket.
Az egyetlen jó hír, hogy sikerült elérnie a célját, a hírek szerint 2020 áprilisában a Microsoft tényleg drámaian visszavágta a biztonsági kutatóknak kifizetett jutalmak összegét. A WannaCry ransomware megállítása kapcsán híressé vált Marcus Hutchins például tavaly júliusban panaszkodott, hogy az általa bejelentett nulladik napi hibáért eredetileg 10 ezer dollár jutalmat fizetett volna cég, ám a megváltozott szabályok miatt végül ezer dollárt adott neki.
Egy másik kutató szemét a Microsoft most novemberben 5000 dollárral szúrta ki egy szerveres környezetben kihasználható, távoli kódfuttatásos sebezhetőségért, ami a helyzet súlyosságát tekintve meghökkentően alacsony összeg.
Az alacsony jutalmak komoly aggodalmakat vetnek fel a Microsoft bug bounty programjának komolyságával kapcsolatban. A kutatók nagy szakértelmet igénylő és rendkívül időigényes munkát végeznek, a cég pedig megengedheti magának, hogy tisztességes jutalmakkal honorálja az erőfeszítéseiket.
A teljes cikket ITT olvashatja tovább.