Нулта ден нов vBulletin може да зарази илјадници страници ширум светот

8chan dijatuhkan oleh Cloudflare setelah penembakan AS

Детали за нулта ден во популарниот софтвер за интернет форум vBulletin се објавени на Интернет од анонимни истражувачи за безбедност.

По обелоденувањето, експертите за безбедност се загрижија дека со објавување детали за закрпи на ранливост што не биле снабдени, анонимниот истражувач само може да предизвика бран хакирање на интернет-форумите што може да ги натера хакерите да го преземат форумот и да украдат големи количини на информации содржани во нив.

Анализата на објавениот код откри дека нулта ден му дозволува на напаѓачот да извршува командни школки на серверот што ја инсталира инсталацијата vBulletin. Ранливоста е прилично сериозна затоа што напаѓачот не мора дури и да има сметка на форумот што е насочен да изврши напад врз него.

Нултарениот ден пронајден во vBulletin е познат како ранливост на извршување на далечински код пред препознавање и е еден од најлошите видови на безбедносни грешки што можат да влијаат врз веб-платформите.

Анонимно обелоденување

Детали за нулта дена на vBulletin објавени на списокот за испраќање по јавен пристап до целосна објава.

Истражувачите за безбедност често откриваат слабости откако ќе ја известат компанијата и ќе дадат доволно време за да ги надминат слабостите. Но, во овој случај, сè уште е нејасно дали анонимни истражувачи ја пријавуваат ранливоста директно во тимот на vBulletin или дали ја откриваат ранливоста откако компанијата не успеа да го реши проблемот доволно брзо. Обично истражувачите за безбедност им даваат на деловните активности најмалку 90 дена за да ги искористат слабостите пред да ги изложат во јавноста.

Во исто време, обелоденувањето исто така може да биде намерно злосторство или саботажа со истражувачи кои се обидуваат да му наштетат на угледот на MH Sub I, компанијата зад vBulletin. Истражувачите можат да ги сокријат своите идентитети кога објавуваат детали за нулта ден користејќи анонимни услуги за е-пошта. Меѓутоа, ако истражувачите пријавуваат нула дена директно во компанијата, тие можат да добијат награда за грешки од 10 000 американски долари според табелата на цени на MH Sub I.

Околу 0,1 проценти од сите интернет-страници работат форуми поддржани од vBulletin и овој број може да изгледа мал, но милијарди корисници на Интернет можат да бидат погодени од овој нулта ден. За среќа, нулта-ден влијае само на форумите што работат со vBulletin 5.x, така што форумите што работат со претходни верзии се безбедни.

Корисниците одговорни за форумот vBulletin најпрво мора да проверат за да видат со која верзија на софтвер работат, и дали ја користат најновата верзија, истражувачите за безбедност издадоа неофицијални закрпи за да намалат нула дена.

Преку ЗДНет