Ερευνητές της HP δημοσίευσαν ένα zero day exploit που μπορεί να χρησιμοποιηθεί για επιθέσεις σε μια αδυναμία του Internet Explorer. Οι ερευνητές δημοσίευσαν το exploit όταν η Microsoft αρνήθηκε να εκδώσει ένα patch.
Σε μια δημοσίευση στο blog της εταιρείας, ο Dustin Childs, senior security content developer της HP, αναφέρει ότι η κίνηση δημοσίευσης του exploit μπορεί να θεωρηθεί “κακία,” αλλά ακολούθησε την πολιτική γνωστοποιήσεων.
“Η Microsoft μας επιβεβαίωσε ότι δεν σκοπεύει να κυκλοφορήσει κάποιο patch για το κενό ασφαλείας, και αισθανθήκαμε την ανάγκη να δώσουμε τις πληροφορίες στο κοινό,” ανέφερε ο Childs.
Το bug επιτρέπει σε έναν επιτιθέμενο να παρακάμψει το χαρακτηριστικό Address Space Layout Randomization (ASLR), το οποίο ενεργεί ως μία από τις πολλές γραμμές άμυνας στο δημοφιλές πρόγραμμα περιήγησης.
Το zero day exploit επηρεάζει μόνο συστήματα των 32-bit, αλλά οι ερευνητές της HP, δήλωσαν ότι το σφάλμα εξακολουθεί να πλήττει εκατομμύρια συστήματα, ακόμα και αν τα περισσότερα σήμερα είναι 64-bit.
Ο Childs, που ανέφερε το σφάλμα στη Microsoft, δήλωσε ότι η απάντηση που πήρε από την εταιρεία ήταν ότι είναι: “τεχνικά σωστό.” Έτσι τιμώρησε την απόφαση της εταιρείας να μην επιδιορθώσει το σφάλμα.
Η ομάδα της HP κυκλοφόρησε μάλιστα και ένα PoC που αποδεικνύει ότι το σφάλμα υπάρχει στα Windows 7 και 8.1.