Microsoft критикует исследователя, работающего на Google, который опубликовал 0-day уязвимость Internet Explorer на Новый Год. Уязвимость была обнаружена при помощи cross_fuzz, инструмента, призванного находить ошибки в веб-браузерах, созданного исследователем Google Михалом Залевским, который говорит, что он более месяцев 6 предупреждал Microsoft перед преданием огласке уязвимости. Тем не менее, это не удержало Microsoft от острой критики, компания утверждает, что Залевский подверг тысячи пользователей риску.

Согласно опубликованной Залевским хронологии событий, он первый раз сообщил Microsoft об уязвимости в июле прошлого года и предоставил компании копии cross_fuzz для независимой проверки. Залевский проинформировал компанию о том, что он планирует выпустить программу в январе, и Microsoft подтвердила эту информацию — признал во вторник представитель компании Microsoft Джерри Брянт.

Microsoft сообщила, что она не смогла воспроизвести проблемы при помощи инструмента cross_fuzz будучи уведомленной о проблеме в июле, несмотря на то, что Залевский настаивал, что он видел "многочисленные отказы системы и проблемы повреждения GDI" в IE. Компания утверждает, что она была уведомлена только лишь 21 декабря о новой версии cross_fuzz, которая могла вызвать потенциальный эксплуатируемый аварийный отказ системы.

Microsoft незамедлительно выпустила уведомление Security Advisory (2488013), признавая, что уязвимость охватывает все поддерживаемые версии IE. Microsoft объяснила, что уязвимость существует в результате создания неинициализированной памяти во время обработки CSS в браузере, это дает возможность хакерам использовать память в своих целях при помощи специально разработанной веб-страницы.

"Мы незамедлительно начали работу по воспроизведению проблемы с обновленной и первозданной программой и в данный момент исследуем ее дальше, чтобы определить является ли она на самом деле эксплуатируемой", - сообщил Брянт.

Вот здесь, тем не менее, истории расходятся. Залевский говорит, что он ничего якобы не слышал от Microsoft до середины декабря, когда другие смогли воспроизвести проблему при помощи первоначальной версии cross_fuzz, которая использовалась еще в прошлом июле. Согласно Залевскому, Microsoft неожиданно обеспокоилась о потенциальных негативных PR-последствиях и заявила о проблемах в IE лишь поверхностно после того, как он обновил свой код. Залевский сказал, что проблема не изменилась и выявляется при функционировании как новой, так и старой версии fuzzer и снова сообщил Microsoft, что планирует выпустить программу в январе.

"Ответ [Центра исследования безопасности Microsoft] подтверждает, что эти отказы системы воспроизводимы при помощи fuzzer от 29 июля; неясно, почему нельзя было воспроизвести их раньше, или отслеживать этот случай", - написал Залевский 29 декабря. Как и обещал, он выпустил fuzzer 1 января.

Теперь Microsoft обвиняет Залевского в повышении риска для пользователей IE - компания сообщает, что злоумышленники могут найти способ воспользоваться уязвимостью до того, как патч может быть апробирован и распространен. Залевский настаивает, что Microsoft знала об уязвимости и его плане выпустить программу в январе на протяжении более 6 месяцев, тем не менее, ничего не делала до тех пор, пока не стало слишком поздно.

Чтобы ни говорил он или компания, война прекращается, Microsoft сообщает, что она активно контролирует ситуацию и в скором времени планирует выпустить патч.