Google са знаели за GHOST 2014г. и не са казали на никого!

Вече са публикувани доста подробности за уязвимостта на GLIBC наречена GHOST от преди няколко дни открита от фирмата Qualys, и дистрибуциите вече я пачнаха. Оказва се, че Google са знаели за проблема, оправили са го в ChromeOS преди година и са забравили да кажат за това.

Нещата са ясни в света на отвореният код. Когато някой открие уязвимост, експлойт или някакъв проблем, той информира наляво-надясно за това. Това е и причината защо CVE (Common Vulnerabilities and Exposures) съществува, така, че всеки да закърпи своите системи подобаващо и да пази системите сигурни.

Всеки ден се откриват какви ли не проблеми. Потребителите обикновено не разбират за тях, защото не са толкова значими и те се пачват много бързо. Така е в света на отворения код, с Линукс и подобните системи. Съвсем по друг начин стоят нещата в света на собственическия код.

Германски сайт heise.de доказва, че Chrome OS е имал кръпка от Април 2014, което в същност е проблем, защото информацията не се е разпространила по-широко.

"Сomit съобщението ясно казва, че са знаели за уязвимостта и са я оправили: 'glibc: backport an nss overflow patch. This beckports a patch to fix a nss vulnerability inside glibc. I'm CC-ing the committer.

Двама души са коригирали проблема на различни места и не са вдигнали тревога - това е смущаващо" пише Hanno Böck в мейл лист за сигурността.

Най-вероятно това е грешка на Google и не е направена нарочно, но тогава възниква въпросът - Колко още такива недокладвани и решени проблеми съществуват?

Източник