Анонимный исследователь уведомил ZDI о наличии уязвимости в браузере Microsoft не позже июля этого года.
Исследователь безопасности Ерик Романг (Eric Romang), который первым опубликовал в свободном доступе информацию о критической уязвимости в браузере Microsoft Internet Explorer (CVE-2012-4969) , заявляет, что производитель мог знать о ней за несколько месяцев до появления исправления .
Эта уязвимость была устранена в пятницу в рамках внеочередного бюллетеня безопасности. Впервые о ней стало известной 14 сентября, когда Романг обнаружил эксплоит на сервере, находящимся под контролем участников хакерской группы Nitro.
В уведомлении MS12-063 софтверный гигант благодарит анонимного исследователя, который работает на Zero Day Initiative (ZDI). При этом в корпорации не отмечают, когда именно ZDI сообщила о наличии уязвимости, об этом станет известно после публикации официального уведомления о ней от компании. Согласно перечню запланированных ZDI уведомлений, последняя уязвимость, которая была предоставлена компании анонимным пользователем, и которая имеет CVSS рейтинг выше 7,5, появилась 24 июля этого года, то есть два месяца назад.
Таким образом, Microsoft несколько раз имела возможность устранить эту уязвимость в рамках регулярной публикации уведомлений безопасности, но сделала это только после того, как в открытом доступе оказалось несколько вариантов эксплоитов к ней.
Лечим цифровую неграмотность без побочных эффектов