Анонимный «жест доброй воли» обернулся головной болью для десятков разработчиков.
Об уязвимостях в программном обеспечении принято сначала сообщать разработчикам и давать время на исправление, а подробности становятся публичными позже. Однако на GitHub появился проект, устроенный по обратному принципу: пользователь с ником bikini создал репозиторий Exploitarium для публикации сведений о ещё не закрытых уязвимостях нулевого дня сразу в нескольких проектах. Ни одной из обнаруженных уязвимостей на момент публикации официально не присвоили идентификатор CVE.
Автор репозитория создал архив, чтобы привлечь больше людей к поиску уязвимостей, и назвал такой способ самым действенным. О любой найденной уязвимости все желающие могут сообщить как bikini, так и автору уязвимого проекта, и получить признание, если брешь получит официальный номер CVE.
Среди материалов архива выделяется случай с архиватором 7-Zip. Для версии 7-Zip 26.01 под Windows в репозитории описана цепочка действий с RAR5-архивом, который содержит метки MotW и ADS — системные признаки, которыми Windows отмечает потенциально опасные файлы, скачанные из интернета.
Эта цепочка показывает, что через такой архив можно добраться до внутреннего кода разбора формата 7zip, а значит, в парсере вероятна ошибка. Вскоре после публикации уязвимости разработчик 7-Zip Игорь Павлов выпустил исправление , где, вероятно, устранил именно эту брешь.
Помимо 7-Zip в репозитории описаны ещё десятки уязвимостей, а пользователи GitHub закидали автора Pull request-ами с новой информацией об известных им уязвимостях.
Уже на момент публикации данной новости репозиторий Exploitarium на GitHub был заблокирован вместе с аккаунтом самого bikini. Тем не менее, доступ к нему всё ещё можно получить через Web Archive .
По всей видимости, публичный архив необработанных уязвимостей оказался двояким инструментом. Да, бесспорно, он ускоряет выход исправлений, подталкивая разработчиков действовать быстрее, но одновременно даёт потенциальным злоумышленникам готовый список целей, который в эпоху ИИ совсем несложно превратить в эксплойты для атаки. Вернётся ли bikini на GitHub на других условиях или же откроет Exploitarium на других платформах — покажет время.
Об уязвимостях в программном обеспечении принято сначала сообщать разработчикам и давать время на исправление, а подробности становятся публичными позже. Однако на GitHub появился проект, устроенный по обратному принципу: пользователь с ником bikini создал репозиторий Exploitarium для публикации сведений о ещё не закрытых уязвимостях нулевого дня сразу в нескольких проектах. Ни одной из обнаруженных уязвимостей на момент публикации официально не присвоили идентификатор CVE.
Автор репозитория создал архив, чтобы привлечь больше людей к поиску уязвимостей, и назвал такой способ самым действенным. О любой найденной уязвимости все желающие могут сообщить как bikini, так и автору уязвимого проекта, и получить признание, если брешь получит официальный номер CVE.
Среди материалов архива выделяется случай с архиватором 7-Zip. Для версии 7-Zip 26.01 под Windows в репозитории описана цепочка действий с RAR5-архивом, который содержит метки MotW и ADS — системные признаки, которыми Windows отмечает потенциально опасные файлы, скачанные из интернета.
Эта цепочка показывает, что через такой архив можно добраться до внутреннего кода разбора формата 7zip, а значит, в парсере вероятна ошибка. Вскоре после публикации уязвимости разработчик 7-Zip Игорь Павлов выпустил исправление , где, вероятно, устранил именно эту брешь.
Помимо 7-Zip в репозитории описаны ещё десятки уязвимостей, а пользователи GitHub закидали автора Pull request-ами с новой информацией об известных им уязвимостях.
Уже на момент публикации данной новости репозиторий Exploitarium на GitHub был заблокирован вместе с аккаунтом самого bikini. Тем не менее, доступ к нему всё ещё можно получить через Web Archive .
По всей видимости, публичный архив необработанных уязвимостей оказался двояким инструментом. Да, бесспорно, он ускоряет выход исправлений, подталкивая разработчиков действовать быстрее, но одновременно даёт потенциальным злоумышленникам готовый список целей, который в эпоху ИИ совсем несложно превратить в эксплойты для атаки. Вернётся ли bikini на GitHub на других условиях или же откроет Exploitarium на других платформах — покажет время.
- Источник новости
- www.securitylab.ru