IBM, HP i Microsoft na celowniku Zero-Day Initiative

Jak informują przedstawiciele należącej do HP Zero-Day Initiative (ZDI), IBM, HP i i Microsoft są tymi producentami oprogramowania, którzy mają najgorsze wyniki w łataniu dziur typu zero-day, czyli niezałatanych dziur aktywnie wykorzystywanych przez przestępców.

W bieżącym roku ZDI upubliczniła dane o 29 wciąż niezałatanych lukach typu zero-day, o których istnieniu informowano producentów oprogramowania pół roku wcześniej. W programach IBM-a było 10 takich dziur, w oprogramowaniu HP znaleziono ich sześć, a w programach Microsoftu - pięć.

TippingPoint, wydział HP prowadzący ZDI, jest znany z organizowania hakerskich zawodów Pwn2Own. Kupuje on informacje o lukach od niezależnych badaczy i informuje o nich producentów dziurawego oprogramowania. HP wykorzystuje tak uzyskane informacje do udoskonalania swoich programów zabezpieczających. W ubiegłym roku TippingPoint poinformował, że jeśli producent nie załata oprogramowania w ciągu pół roku po otrzymaniu informacji, ujawni ograniczoną ilość danych o dziurze.

Osoby pracujące przy ZDI twierdzą, że takie działanie wywiera pewien pozytywny nacisk na producentów. Po raz pierwszy informacje takie ujawniono 7 lutego 2011 roku, a już w kwietniu Microsoft załatał wszystkie pięć luk w MS Office, o których został poinformowany w połowie 2010 roku.

Nie wszyscy reagują jednak tak samo. IBM i HP wciąż nie załatały swoich 16 dziur, mimo, że o istnieniu niektórych wiedzą od trzech lat.