LUK
11-02-2008, 13:28
Un grupo de investigadores de seguridad informática han descubierto un fallo crítico en RealPlayer 11, pero no quieren ofrecer los detalles a nadie a no ser que se les pague por ello. Normalmente estas vulnerabilidades se comunican a entidades como el CERT (http://www.cert.org/), pero esta nueva iniciativa parece realmente peligrosa.
El fundador de la empresa Gleg, Evgeny Legerov, explicó que había una vulnerabilidad del tipo Zero-Day en la última versión del reproductor de RealNetworks. Y resulta que están vendiendo el exploit de dicha vulnerabilidad a clientes comerciales que pagan nada menos que 10.000 dólares para coneguir los detalles de este fallo, además de actualizaciones de seguridad sobre estos temas. El fallo de seguridad permite ejecutar código de forma remota en el ordenador atacado.
Lo más preocupante es que este grupo no quiere ofrecer los detalles a Real, ni tampoco a organizaciones de seguridad como el CERT, que se encargan de tratar de avisar a los usuarios y de trabajar para ofrecer parches de seguridad. ¿Estamos ante el comienzo de una nueva era en seguridad informática? ¿Tendrán las empresas que pagar fortunas cuando alguien descubre vulnerabilidades en sus aplicaciones?
Enlaces:
http://www.daniweb.com/blogs/entry2060.html
El fundador de la empresa Gleg, Evgeny Legerov, explicó que había una vulnerabilidad del tipo Zero-Day en la última versión del reproductor de RealNetworks. Y resulta que están vendiendo el exploit de dicha vulnerabilidad a clientes comerciales que pagan nada menos que 10.000 dólares para coneguir los detalles de este fallo, además de actualizaciones de seguridad sobre estos temas. El fallo de seguridad permite ejecutar código de forma remota en el ordenador atacado.
Lo más preocupante es que este grupo no quiere ofrecer los detalles a Real, ni tampoco a organizaciones de seguridad como el CERT, que se encargan de tratar de avisar a los usuarios y de trabajar para ofrecer parches de seguridad. ¿Estamos ante el comienzo de una nueva era en seguridad informática? ¿Tendrán las empresas que pagar fortunas cuando alguien descubre vulnerabilidades en sus aplicaciones?
Enlaces:
http://www.daniweb.com/blogs/entry2060.html