в Microsoft, однако пока исправления не выпущены исследователь, который нашел уязвимость, решил получить за нее деньги, выставив описание на продажу. Начальная цена лота была 0,01 долл., но ее стоимость очень быстро растет. Ошибка найдена в анализаторе формата xls в Excel. В результате, файл можно испортить так, что произойдет переполнение в счетчике msvcrt.memmove(), что может привести к переполнению буфера. Эту уязвимость можно использовать для написания почтового вируса. Автор, продающий описание уязвимости, заявляет, что у него есть эксплойт для исполнения кода, но этот эксплойт он не продает. Если фонд Mozilla покупает описание критических уязвимостей за 500 долл., то исследователям безопасности продуктов Microsoft приходится самостоятельно заботится о продаже дела своих рук.

Поделитесь материалом с коллегами и друзьями