W tym tygodniu badacz podatności użył Twittera, by z sobie znanego powodu udostępnić informacje o luce w zabezpieczeniach typu zero-day w Windows. Siłą rzeczy Microsoft dowiedział się o podatności tą okrężną drogą i potwierdził, że wypuści łatkę w najbliższy planowany Patch Tuesday. Drugi wtorek września wypada jednak dopiero za 13 dni. Przez ten czas podatność będzie nadal aktywna.
W swoim oświadczeniu Microsoft pisze, że Windows [sic!] jest zobowiązany do badania zgłoszonych przez klientów problemów związanych z bezpieczeństwem i proaktywnej aktualizacji dotkniętych nimi urządzeń tak szybko, jak to możliwe. Naszą standardową zasadą jest dostarczanie rozwiązań za pośrednictwem naszego obecnego harmonogramu Update Tuesday. Oznacza to, że na odpowiednią aktualizację zabezpieczeń trzeba będzie czekać do 11 września.
Nieco zaskakuje brak jakiegokolwiek komentarza na temat zachowania badacza, który bez wcześniejszego kontaktu z Microsoft czy choćby wyznaczenia czasu na wydanie poprawki od razu opublikował informacje o luce na Twitterze, gdzie dołączył link do kodu proof-of-concept na GitHub. Istnienie podatności zostało szybko potwierdzone przez analityka CERT/CC, Willa Dormanna, który na Twitterze pisze: Sprawdziłem, że [eskalacja uprawnień lokalnych] działa dobrze we w pełni załatanym 64-bitowym systemie Windows 10.
Wydawałoby się, że badacz przez roztargnienie nie poinformował Microsoftu odpowiednim kanałem kontaktowym, ale Internauci wpadli na trop czegoś grubszego. Użytkownik Reddita o tym samym nicku, co na Twitterze, miesiąc wcześniej rzekomo próbował handlować podatnościami 0day w Windows. Najwyraźniej się nie udało, bo posty na forum zostały usunięte, a domorosły badacz stwierdził, że kończy przygodę z security. Świat dziękuje mu za tę zmianę ścieżki kariery.
341f31d.png)