новость BugTraq переборщил с информацией о дырах в MSIE

20.11.2002

Многие специалисты по безопасности выступают за полное раскрытие данных о дырах в программном обеспечении, считая, что своевременное информирование о подобных проблемах способствует их скорейшему решению. Многие, с другой стороны, придерживаются мнения, что общественность должна получить всю необходимую информацию лишь после того, как разработаны соответствующие заплаты. И те, и другие, сообщает Wired News, были возмущены публикацией в списке рассылки BugTraq, посвященном вопросам безопасности, программного кода, дающего возможность использовать дыру в Microsoft Internet Explorer.

В опубликованном сообщении содержался код веб-скрипта, способного переформатировать жесткий диск посетителя соответствующей веб-страницы. Скрипт использовал дыру в MSIE 5.5 и 6.0, обнаруженную в начале ноября. Выпущенные корпорацией Microsoft заплаты частично решают проблему, однако корпорация продолжает изучать проблему с тем, чтобы обеспечить более надежную защиту в будущем.

BugTraq - список рассылки, перешедший корпорации Symantec после покупки ею SecurityFocus. Поскольку сообщения в список рассылки проходят предварительный отбор модератора, наблюдатели упрекают Symantec в непоследовательности. Они утверждают, что публикация программного кода, способного причинить такой ущерб пользователям, не есть симптом "открытости информации", а прямое способствование script kiddies, которые могут этим кодом воспользоваться.

Wired News, Slashdot, Serious Internet Explorer Defect

20.11.2002