IBM, HP, Microsoft возглавляют список компаний, которые не были способны устранить в своих системах

Уязвимости, найденные в рамках программы Zero-Day Initiative (ZDI),
участники которой искали в приложения баги за вознаграждение, не были
исправлены. Инициатором программы стала компания HP и ее подразделение
TippingPoint.

Из 29 найденных уязвимостей 10 принадлежали приложениям IBM, шесть –
собственным разработкам HP и пять – продуктам Microsoft. Другие компании в этом
списке включали CA, Cisco и EMC. Согласно правилам инициативы, те компании,
которые не смогут исправить баги за шесть месяцев, должны будут объявить о
них.

В целом программа работает довольно успешно, вендоры выпускают патчи для
своих продуктов.

«Количество непропатченных уязвимостей могут повлиять на восприятие
безопасности продукта», — считает исследователь ZDI Дерек Браун.

Из пяти уязвимостей пакета Office, что были найдены к февралю 2011 года,
Microsoft пропатчил все в апреле того же года. IBM и HP на пропатчили
отмеченные 16 уязвимостей, некоторые из которых были найдены еще два или даже
три года назад.

ZDI получил шесть уязвимостей SCADA в 2011, которые повлияли на софт,
созданный General Electric, Honeywell и InduSoft.

«У нас есть довольно серьезные баги в SCADA, — говорит Браун, — и пока наш
опыт работы с вендором сугубо положительный».

ZDI пока не публикует информацию об этих багах, но не отказывается т такой
возможности в будущем, если вендор не захочет их исправлять. Специалисты
считают, что именно один из них ответственен за атаку червя Stuxnet, который
повлиял на работу иранского ядерного завода, нанеся ущерб центрифугам в однм
или двух корпусах.

Команда TippingPoint работает с Департаментом внутренней безопасности в
принятии решения опубликовать данные об уязвимостях SCADA, которые он
приобрел.