Hihi, entgegen der eigenen Policy hat Microsoft sich geweigert, den Entdecker der MS08-011 Lücke im Advisory namentlich zu erwähnen.
Zum Hintergrund, für IT-Security-Forscher ist es recht interessant, in solchen Advisories erwähnt zu werden, da dadurch die eigene Bekanntheit und so der Marktwert steigt. Allerdings beschränkt Microsoft die Nennung auf Forscher, die sich dem „Responsible Disclosure“ Programm von Microsoft angeschlossen haben. Daran halten sich jedoch nicht alle Unternehmen, da Microsoft sich dann gerne mal mehrere Monate Zeit lässt, eine kritische Lücke zu schließen.
Jedenfalls hat sich der Entdecker von MS08-011 an alle Prozeduren gehalten und via iDefense die Lücke an Microsoft berichtet (via iDefense weil dann kriegt man noch etwas Geld dafür). Und die Antwort:
- „Unfortunately, Microsoft has refused to credit you using the name you requested.“
Tja, wenn man sich auch chujwamwdupe nennt 🙂
Ich sag ja … responsible disclosure lohnt sich nicht. Einfach den Exploit veröffentlichen und gut ist. HD Moore ist so auch bekannt geworden.
Kommentare gesperrt wegen Spam
Comment by Christian — 7. Juni 2012 @ 11:03