Публично раскрыв информацию об уязвимости, эксперт не уведомил о ней Microsoft и тем самым подверг риску пользователей Windows.
Согласно информационному агентству Reuters, уязвимость в Windows 7 и Windows 8, которую Microsoft устранила в июле нынешнего года, эксплуатировалась злоумышленниками для осуществления целевых атак. Компания не сообщила о масштабах атак и ущербе, который они нанесли.
Эксплуатации уязвимости способствовало то, что в мае 2013 года информация о ней была публично раскрыта исследователем Google Тэвисом Орманди (Tavis Ormandy). Примечательно то, что эксперт не уведомил о бреши саму компанию и тем самым подверг риску пользователей Windows.
Орманди заявил, что сознательно решил не связываться с Microsoft, поскольку с сотрудниками очень сложно взаимодействовать из-за их враждебности. Эксперт также посоветовал исследователям, обнаружившим уязвимости, при обращении к сотрудникам компании не называть своих настоящих имен, а пользоваться псевдонимами.
Подробнее ознакомиться с описанием уязвимости можно здесь.
Собираем и анализируем опыт профессионалов ИБ