Un compte GitHub anonyme diffuse massivement des 0-days non divulgués
Original : Anonymous GitHub account mass-dropping undisclosed 0-days
Pourquoi c'est important
Divulgation massive de 0-days présente des risques critiques de sécurité et soulève des questions éthiques sur la responsabilité en matière de divulgation de vulnérabilités.
Un utilisateur GitHub anonyme (@bikini) a publié un dépôt contenant des preuves de concept (PoC) d'exploits pour des vulnérabilités non signalées, incluant des failles dans 7zip, Docker, Firefox et d'autres logiciels. L'auteur affirme que ces vulnérabilités n'ont pas encore été rapportées officiellement.
Un dépôt GitHub intitulé « exploitarium » a été créé par un compte anonyme (@bikini) et contient une archive de preuves de concept d'exploits et de recherches sur les vulnérabilités. Le dépôt répertorie au moins 30 commits et inclut des PoC pour des vulnérabilités dans plusieurs produits populaires : 7zip (chaîne rar5-motw), AnyDesk (usurpation d'imprimante COM), c-ares (TCP use-after-free), Docker (échappement docker-cp), FFmpeg, Firefox, Flowise, Ghidra, Gitea, ImageMagick et libssh2. L'auteur affirme explicitement que « aucune de ces vulnérabilités n'a été signalée » au moment de la publication, tout en encourageant les lecteurs à les signaler eux-mêmes et à « prendre le crédit pour le CVE si attribué ». Le créateur du dépôt déclare que l'objectif est d'« attirer les gens dans le domaine » de la sécurité informatique, affirmant que cette approche est « la plus efficace ». Le dépôt demande explicitement de ne pas abuser des exploits.