Verschillende producten van Corel, waaronder DRAW, PaintShop, VideoStudio PRO en CAD zitten in de zogenaamde DLL-hel. Dit is een berucht probleem waarbij kwaadaardige dynamic link libraries (DLLs), voorrang krijgen boven de eigen DLL's, waardoor het programma wordt geïnfecteerd. DLL's worden gebruikt in Windows.

Beide partijen onverantwoord

Opvallend is vooral de manier waarop de zerodays worden geopenbaard. Zowel de melder, Core Security als Corel, gaan hier niet vrijuit. De onderzoekers meldden het gat op 9 december en stelde een ultimatum tot 5 januari, wat onverantwoord kort is, zeker gezien de tijd van het jaar.

Maar Corel reageerde überhaupt niet op de melding en ook niet op toenadering via Twitter. En dus gooide Core Security details van de kwetsbaarheid online. Valt dit nog onder responsible disclosure?

Computerworld dook in de voors en tegens van strakke deadlines bij responsible disclosure Lees: Ultimatum voor onthullen van een gat: ethisch of niet?