Massiv avsløring av sårbarheter

Mener at Microsoft, HP og IBM har somlet lenge nok med å rette problemene.

Zero Day Initiative (ZDI) har denne uken offentliggjort detaljer om mer enn 40 sårbarheter i programvare fra blant annet Adobe, Microsoft, IBM og HP.

En hel del av sårbarhetene, spesielt de som berører Adobes programvare, har det denne uken kommet sikkerhetsfikser til. Også Microsoft fjernet en del av sårbarhetene tidligere denne uken.

Likevel er det en lang rekke sårbarheter som nå har blitt offentlig kjent, uten at leverandørene har gitt ut sikkerhetsfikser. Etter alt å dømme har ZDI eller andre for lengst informert leverandørene om sikkerhetshullene. Ser man bort fra sårbarhetene som allerede er fikset, er det ingen av sårbarhetene som ikke var kjent for leverandøren den 30. juni i fjor.

Dette er mer enn sju måneder siden, noe ZDI nok anser for å være tilstrekkelig med tid til å rette feilene. Det er likevel enkelte av sårbarhetene som ble gjort kjent for leverandørene på et langt tidligere tidspunkt. Et eksempel er denne sårbarheten i Lotus Domino som IBM ble varslet om i slutten av august 2008.

Mange av de aktuelle sårbarhetene åpner for fjernkjøring av vilkårlig kode og systemtilgang med samme privilegier som den innloggede brukeren.

Innen utgangen av mai skal ZDI etter planen offentliggjøre detaljer om ytterligere 65 sårbarheter. En oversikt over de berørte leverandørene finnes her. Fem av sårbarhetene har vært kjent siden 2009 eller tidligere.

    Les også:

Til toppen