Онлайновый магазин , принадлежащий корпорации , в течение пяти дней остается недоступен из-за ошибки в программном обеспечении сайта.
Через магазин Microsoft распространяет различные программные пакеты, предназначенные для разработчиков ПО, совместимого с продуктами корпорации.
В настоящее время на Developerstore.com можно прочесть лишь: "Магазин разработчика временно недоступен. Спасибо за то, что посетили магазин. Мы приносим свои извинения за то, что не можем помочь вам в настоящее время. Пожалуйста, зайдите попозже".
Нынешняя ситуация изначально вызвана небезопасностью скрипта, с помощью которого в Developerstore.com осуществлялся поиск по базе данных.
В прошлый четверг некто Цезарь Керрудо сайта информацию о том, что благодаря уязвимости майкрософтовского скрипта злоумышленник может получить доступ к любой информации – не только о продуктах, которые можно приобрести в магазине, но и информацию о самих пользователях магазина, в том числе и конфиденциальную.
Злоумышленник также мог, при желании, получить полный контроль над сервером.
Цезарь Керрудо первоначально обратился в соответствующую службу корпорации, однако оттуда пришел ответ, больше напоминающий автоматическую отписку.
На следующий день Керрудо написал письмо с подробным описанием проблемы уже администратору рассылки SecurityFocus.com Blue Boar, который, в свою очередь, написал в Microsoft о проблеме. И лишь после того, как проблема была устранена (скрипт убрали), Blue Boar опубликовал письмо Керрудо.
Как сообщил в интервью Newsbytes сам Blue Boar, роль цензора ему самому не слишком по душе, однако его сайт читают люди с очень разными намерениями. И опубликовать информацию о том, что система магазина небезопасна, он решился только после того, как получил подтверждение из корпорации о том, что проблема устранена
Сам же Керрудо, не удовлетворенный тем, что его сообщение не появилось на сайте сразу, послал уведомление о дыре на другой сайт, также посвященный безопасности. Свои действия он объясняет просто: на обнаружение этой дыры у него ушло 10 секунд, столько же требуется на то, чтобы устранить проблему. Однако прошло 12 часов после того, как Керрудо сообщил в Microsoft о дыре, но все оставалось по-прежнему.
И лишь после того, как в Microsoft написал Blue Boar, в корпорации устранили проблему "убрав опасный скрипт" и при этом "полностью положив весь сайт". Который, кстати, продолжает благополучно лежать до сих пор.
NewsBytes также сообщает, что по поводу всего случившегося в Microsoft смогли ответить лишь, что сказать по этому поводу они ничего не могут.
Copyright © 2000-2002 Нетоскоп