Belkin говорит, что уже фиксировал уязвимости совокупности обеспечения безопасности в собственных подключенных домашних устройствах WeMo, сказал на общедоступной консультации, выпущенной IOActive 18 февраля.Belkin International заявила поздно 18 февраля, что она фиксировала уязвимости в собственной строке WeMo устройств управления электроники дома, о которых сказала исследовательская компания безопасности IOActive.Раньше 18 февраля IOActive вышел, общедоступное предупреждение консультации уязвимостей в WeMo Belkin подключило домашние устройства.
Линейка продуктов WeMo включает соединенные выключатели питания и выключатели Интернета, каковые разрешают пользователям удаленно руководить собственными устройствами посредством мобильных приложений Android и IOS.Американский CERT (Компьютерная Команда Экстренного реагирования) выпустил собственный собственное примечание уязвимости 18 февраля, которое идентифицировало пять уязвимостей, каковые имели возможность подвергнуть пользователей WeMo риску.Но в отчете, отправленном по email к eWEEK поздно 18 февраля, Belkin утверждал, что это разрешило те уязвимости. «Belkin исправил перечень пяти потенциальных уязвимостей, воздействующих на строчок WeMo домашних ответов по автоматизации, которая была размещена на консультации CERT 18 февраля», говорилось в заявлении Belkin.
CERT кроме этого обновил собственный примечание уязвимости 19 февраля, делая запись отчета Belkin, что это фиксировало его продукты. Примечание CERT показывает, что было сперва уведомлено относительно проблем WeMo 24 октября 2013. В интервью с eWEEK 18 февраля, Майком Дэвисом, главный исследователь IOACTIVE заявил, что знал, что Belkin получил данные об уязвимости, не смотря на то, что, потому, что на большом растоянии он знал, Belkin не проконтролировал для исправлений.
Но Belkin утверждал, что 18 февраля, что он уже выпустил требуемые исправления для микропрограммы устройств WeMo.«Пользователи с новым микропрограммным выпуском (версия 3949) не находятся в опасности для злонамеренных микропрограммных нападений либо дистанционного управления либо контроля устройств WeMo от несанкционированных устройств», Belkin заявил. «Belkin убеждает таких пользователей загрузить последнее приложение с App Store (версия 1.4.1) либо Гугл Play Store (версия 1.2.1) и после этого обновить версию микропрограммного обеспечения через приложение».Так, что случилось?
Из-за чего не сделал IOActive, знают о действиях Belkin и из-за чего они производили консультацию, требуя неисправленных недостатков?IOActive послал отчет eWEEK по проблеме, отмечающей, что это это – давешний приверженец важного раскрытия и координировало общедоступное раскрытие критических результатов с американским CERT, что есть в Отделе Отчизны.
IOActive кроме этого говорит, что координация информации об уязвимости и обновлений есть доменом CERT.«Принципиально важно, дабы поставщики либо поставщики предотвратили к уязвимым совокупностям CERT, отвечают и снабжают обновления на их прогрессе перепосредничества либо смягчения любых уязвимостей назад к их точке контакта CERT», отметил IOActive в его отчете. «Ответственность за ответ на CERT падает только на поставщика/поставщика».18 февраля Дэвис IOACTIVE сообщил eWEEK, что, как он знал, нет никакой надёжной конфигурации с микропрограммой устройств WeMo, как. Он сказал, что, «без ясного учета того, как эти неприятности были решены, мы будем рекомендовать что они быть разъединенными от сети».
Но в свете отчета Belkin, IOActive поменял собственную позицию на продуктах WeMo компании. В 19 февраля отчет, IOActive сказал, что это ‘радо’, что Belkin действовал на пять из установленных уязвимостей CERT.«Тогда как существуют другие задокументированные неприятности, Belkin возглавляется в верном направлении», заявил IOActive. «Это не практика IOACTIVE, дабы повторно проверить либо сертифицировать исправления, каковые смогут быть предложены уязвимым поставщиком в ответ на уведомление CERT».Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.