IE-hull holdt hemmelig i tre år

Gull verdt for ekspertene i Vupen.

25. juli 2014 - 09:15

Det franske IT-sikkerhetsselskapet Vupen Security titulerer seg selv som «ledende tilbyder av defensive og offensive kyberevner, avansert forskning og nulldagssårbarheter på myndighetsnivå».

Selskapet har aldri lagt skjul på at handel i kritiske sårbarheter i programvare er en viktig og innbringende del av forretningen.

Det amerikanske etterretningsorganet NSA er på kundelisten, og selskapets toppsjef har tidligere uttalt at han mener de driver med en legitim form for våpenhandel.

I forrige uke røpet Vupen at de oppdaget en nulldagssårbarhet i Microsofts nettleser Internet Explorer (IE) allerede i februar 2011.

Det kritiske hullet (CVE-2014-1764) berørte IE-versjonene 7, 8, 9, 10 og 11 og gjør det mulig for en angriper å bryte ut av sandkasse-modellen og kjøre vilkårlig kode som kan kapre datamaskinen.

Vupen driver imidlertid ikke med veldedighet. Microsoft fikk først vite om sårbarheten drøyt tre år senere, viser meldingen fra selskapet.

Ifølge Forbes har analytikere anslått at kunder betaler 100.000 dollar årlig for retten til å handle sårbarheter fra Vupen. Det gir bare adgang til å kikke i katalogen, i tillegg må de betale stykkpris. (Hvilke land og statsorganer som får lov å kjøpe de mest eksklusive «varene» av det franske sikkerhetsselskapet er tidligere omtalt av digi.no.)

Etter over tre år valgte Vupen endelig å «bruke opp» IE-hullet ved å gjøre det offentlig kjent. Det skjedde da de i mars 2014 knekte nettleseren under Pwn2Own, der selskapet bare i år stakk av med 300.000 dollar i pengepremier. Vupen hadde også andre triks i ermet og maktet denne gangen å knekke samtlige nettlesere i den årlige hackerkonkurransen.

Det etterlater et klart inntrykk av at Vupen sørger for å maksimere profitten av slike nulldagssårbarheter, som kan ha høy verdi på gråmarkedet.

Microsoft fikk endelig sendt ut en feilfiks som lukket det kritiske hullet i Internet Explorer i forrige måned.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.