Vupen Security 3 года не раскрывала критическую уязвимость в IE

Французская компания Vupen Security не раскрывала обнаруженную критическую уязвимость в Internet Explorer в течение 3 лет до того, как сделала это на соревнованиях Pwn2Own в марте нынешнего года.

На прошлой неделе компания опубликовала описание уязвимости CVE-2014-2777, указав, что она была обнаружена 12 февраля 2011 года и исправлена Microsoft 17 июня нынешнего года. Брешь затрагивала версии браузера от IE 8 до IE 11 и позволяла хакеру обойти песочницу.

По словам экспертов из Vupen, уязвимость существует из-за ошибки в последовательности действий, направленных на сохранение файла при вызове ‘ShowSaveFileDialog()’. Брешь может эксплуатироваться в процессах внутри песочницы для записи файлов в произвольных местах на системе в обход песочницы.

За уязвимости, раскрытые в ходе Pwn2Own, Vupen Security получила вознаграждение в размере $300 тыс. Помимо Internet Explorer, компания раскрыла бреши в Adobe Reader, Mozilla Firefox и Adobe Flash.

Отметим, что CVE-2014-2777 не является самой старой брешью, исправленной только сейчас. Так, в прошлом месяце обновления получили алгоритмы распаковки LZO и LZ4, остававшиеся уязвимыми в течение 20 лет.