Интернет-конференция - Microsoft отказалась устранять «дыру» в Internet Explorer, за которую заплатила $125

Microsoft не будет устранять уязвимость в Internet Explorer 11, позволяющую хакерам получить доступ к оперативной памяти ПК. В корпорации объяснили это тем, что у 32-разрядной версии браузера, в которой обнаружена брешь, не так много пользователей. Ранее корпорация выплатила награду за обнаружение уязвимости $125 тыс.

Компания HP в рамках программы HP Zero Day Initiative (ZDI) опубликовала эксплойт к уязвимости в 32-разрядной версии Internet Explorer 11 после того, как разработчик браузера, корпорация Microsoft, отказалась выпускать соответствующий патч.

«В Microsoft подтвердили, что не планируют предпринимать каких-либо действий в отношении найденной нами уязвимости. Мы приняли решение, что публика должна знать о ней», — заявил в блоге HP представитель компании Дастин Чаилдс (Dustin Childs). При этом HP выдержала 120-дневный период неразглашения информации согласно требованиям Microsoft.

В Microsoft нежелание выпускать патч объяснили тем, что у 32-разрядной версии IE 11 не так много пользователей. В HP утверждают, что ею пользуются миллионы человек. Согласно Net Applications, доля IE 11 на сегодняшний день составляет около 26,1%. Это самая популярная версия браузера от Microsoft. Разбивку по разрядности IE компания не предоставляет.

В HP сообщили, что не будут тратить на себя полученную от Microsoft награду и направят деньги на различные образовательные программы.у уязвимость вразрядном Internet Explorer 11 обнаружили специалисты HP по информационной безопасности Брайан Горенк (Brian Gorenc), Абдул-Азиз Харири (Abdul Aziz Hariri) и Саймон Цукербраун (Simon Zuckerbraun). В феврале 2015 г. они получили награду от Microsoft за свою работу в размере $100 тыс. и еще $25 тыс. за разработку патча для найденной уязвимости.

Брешь позволяет обойти встроенный в Windows механизм защиты ASLR (Address Space Layout Randomization) и получить доступ к оперативной памяти компьютера.