Csúnyán spórol a biztonsági kutatókon az operációsrendszer-fejlesztő cég

Másfél éve meghökkentően alacsony jutalmakkal szúrja ki a szemüket – olvasható az Origó cikkében.

Forrás: ORIGO2021. 11. 24. 13:08
VéleményhírlevélJobban mondva - heti véleményhírlevél - ahol a hét kiemelt témáihoz fűzött személyes gondolatok összeérnek, részletek itt.

Nagy megbotránkozást keltett tegnap a hír, miszerint Abdelhamid Naceri biztonsági kutató a szabványos iparági eljárásokat figyelmen kívül hagyva, példakóddal együtt nyilvánosságra hozott egy sebezhetőséget, amellyel jogosultságkiterjesztés érhető el a Windows összes támogatott változatán. A hiba eredeti változatát jelezte a Microsoftnak, az elvileg ki is javította a Windowsokhoz novemberben kiadott összegző frissítésekben, ám rossz munkát végzett, a kutatónak sikerült kikerülnie a patchet.

A támadó kód publikálása rendkívül szokatlan, Naceri azzal indokolta a lépést, hogy a bug bounty programján keresztül a Microsoft túlságosan keveset fizet a sérülékenységeket felfedezett biztonsági kutatóknak. 

Ezzel az akcióval próbálta felhívni a figyelmet a problémára, ám ezzel további veszélynek tette ki a Windowst használó magánszemélyeket, vállalkozásokat, állami szervezeteket.

Az egyetlen jó hír, hogy sikerült elérnie a célját, a hírek szerint 2020 áprilisában a Microsoft tényleg drámaian visszavágta a biztonsági kutatóknak kifizetett jutalmak összegét. A WannaCry ransomware megállítása kapcsán híressé vált Marcus Hutchins például tavaly júliusban panaszkodott, hogy az általa bejelentett nulladik napi hibáért eredetileg 10 ezer dollár jutalmat fizetett volna cég, ám a megváltozott szabályok miatt végül ezer dollárt adott neki.

Egy másik kutató szemét a Microsoft most novemberben 5000 dollárral szúrta ki egy szerveres környezetben kihasználható, távoli kódfuttatásos sebezhetőségért, ami a helyzet súlyosságát tekintve meghökkentően alacsony összeg.

Az alacsony jutalmak komoly aggodalmakat vetnek fel a Microsoft bug bounty programjának komolyságával kapcsolatban. A kutatók nagy szakértelmet igénylő és rendkívül időigényes munkát végeznek, a cég pedig megengedheti magának, hogy tisztességes jutalmakkal honorálja az erőfeszítéseiket.

A teljes cikket ITT olvashatja tovább.

Ne maradjon le a Magyar Nemzet legjobb írásairól, olvassa őket minden nap!

Portfóliónk minőségi tartalmat jelent minden olvasó számára. Egyedülálló elérést, országos lefedettséget és változatos megjelenési lehetőséget biztosít. Folyamatosan keressük az új irányokat és fejlődési lehetőségeket. Ez jövőnk záloga.