فروش آسیب‌پذیری‌های IE به NSA قبل از وصله شدن

اخیرا افشا شده است شرکت امنیتی VUPEN روش‌های سوء‌استفاده از آسیب‌پذیری‌های مرورگر اینترنت‌اکسپلورر را به NSA به فروش می رساند و این اقدام در حالی صورت گرفته است که هنوز آسیب پذیری های کشف شده برای وصله شدن به شرکت های مربوطه ارائه نشده اند.

آژانس‌های امنیتی خود به تنهایی قادر به کشف آسیب‌پذیری‌های روز صفرم نمی باشند و از سایر افراد و شرکت‌ها برای این کار کمک می گیرند و متاسفانه شرکت امنیتی VUPEN یکی از این شرکت‌هاست.

 شرکت امنیتی VUPEN، برنده‌ی مسابقات نفوذ Pwn2Own در ماه مارس سال ۲۰۱۴ می باشد و افراد این تیم امنیتی موفق به کشف آسیب‌پذیری‌هایی در مرورگر اینترنت‌اکسپلورر،‌ گوگل‌کروم، فایرفاکس و نرم افزارهای ادوبی فلش و ادوبی ریدر شدند و در نهایت مبلغی معادل ۳۰۰ هزار دلار جایزه دریافت کردند.

آنها در پیامی در وب سایت خود اعلام داشته اند که: "۶ تا ۹ ماه منتظر نمانید که شرکت‌های تولید‌کننده با وصله‌های نرم‌افزاری از تجهیزات شما محافظت کنند، زیرساخت خود را از آسیب‌پذیری‌های بحرانی در امان نگه دارید."

این پیام بدین معنی است که این تیم امنیتی، آسیب‌پذیری‌های روز صفرمی (Zero Day) را که کشف کرده است تا زمانی که خودش به‌اندازه کافی سود نکند، گزارش نمی کند. البته کسب درآمد این شرکت عمل غیرمعمولی نیست، ولی سوء‌استفاده از آسیب‌پذیری‌ها به بهانه‌ امن کردن زیرساخت‌های مشتریان چیزی شبیه به باج‌گیری است.

این شرکت امنیتی در وبلاگ خود نیز عنوان کرده که سه سال پیش در ۱۲ فوریه‌ سال ۲۰۱۱، آسیب‌پذیری مرورگر اینترنت اکسپلورر با شناسه‌ی CVE-2014-2777 که ۱۱ ژوئن توسط مایکروسافت وصله شد را شناسایی کرده است.  این آسیب‌پذیری در تمام نسخه‌های مرورگر IE از نسخه‌ی ۸ تا ۱۱ قابل سوء‌استفاده بوده و برای مهاجم امکان دور زدن Sandbox تعبیه شده را از دور فراهم می‌کرده است.

آنطور که به نظر می رسد، شرکت VUPEN ترجیح داده تا اینگونه آسیب‌پذیری را به سازمان های جاسوسی از قبیل NSA به فروش برساند تا کسب درآمد بیشتری را برای خود داشته باشد.