Adobe скрыла 80 багов в Flash Player, обнаруженных Google
17.08.2011
Вслед за последним выпуском патчей Adobe для некоторых из продуктов, началась дискуссия, инициированная исследователем из Google Тависом Орманди, который заявил, что он сам уведомил компанию о 400 уязвимостях, обнаруженных им в Flash Player, но Adobe не опубликовала сведений о них.
В действительности, компания Adobe в последнем выпуске перечислила лишь 13 исправленных ошибок в Flash Player, а другие не документировала.
Дискуссия продолжилась тем, что некоторые из исследователей Google (включая Орманди) раскрыли, что обсуждаемые баги были обнаружены в результате использования фаззинга.
"Первоначальный запуск тестирования привел к обнаружению примерно 400 ошибок, которые после первичной сортировки Adobe были зарегистрированы как 106 отдельных багов. Поскольку эти баги были устранены, многие из недостатков были идентифицированы как повторные, не отловленные в ходе первичной проверки", - пояснили исследователи.
"Не было осуществлено никакого анализа, чтобы определить, сколько из установленных сбоев могут быть действительно эксплуатируемыми. Однако каждый сбой был расценен как потенциально эксплуатируемый и устранен Adobe. В конечном счете, в обновление для Flash Player, выпущенном Adobe ранее на этой неделе, было в код внесено около 80 изменений для устранения этих багов".
После молчания относительно этого вопроса, компания Adobe решила предоставить объяснение. Согласно Computerworld, компания признала, что Орманди сообщал о 80 багах в Flash Player, но оправдала свое решение не описывать все уязвимости в выпущенных бюллетенях безопасности тем, что она обычно не раскрывает и не упоминает уязвимости, обнаруженные самой компанией или ее партнерами.
Также возникает вопрос, все ли эти 80 ошибок могут привести к эксплуатируемым уязвимостям. Насколько понятно из политики Adobe, опасны только те уязвимости, которым был присвоен CVE-номер.
