Ciche łatanie Microsoftu
Ivan Arce, główny technolog firmy Core Security Technologies, informuje, że Microsoft po cichu załatał trzy bardzo poważne dziury. Łaty odkrył pracowanik Core Labs Nicolas Economou, który przeanalizował kwietniowy biuletyn MS10-024.
Jego zdaniem znalazły się w nim dwie łaty dla serwera pocztowego Exchange oraz jedna dla SMTP Service. Koncern w opisie biuletynu nie poinformował o tych łatach.
Postępowanie takie można tłumaczyć faktem, że firma nie chciała, by o istnieniu łat dowiedzieli się cyberprzestępcy, którzy mogą za pomocą reverse engineeringu przeanalizować łaty i przygotować szkodliwy kod. Arca uważa jednak, że niepoinformowanie o poprawkach to błąd. One są ważniejsze niż dwie pozostałe w tym biuletynie, o których Microsoft poinformował. To oznacza, że administratorzy mogą podjąć złą decyzję, gdy będą zastanawiali się nad instalowaniem poprawek. Oni potrzebują tej informacji, by ocenić ryzyko - mówi Arce.
Jak mówi Andrew Storms, dyrektor ds. bezpieczeństwa w firmie nCircle Security, wydawanie łat w tajemnicy nie jest niczym nowym. Twórcy oprogramowania robią tak od lat. Najczęściej dzieje się tak w przypadku dziur znalezionych przez samą firmę. Niezwykły jest tylko fakt, że Core Security zdecydowało się na upublicznienie swojego odkrycia. Storms zauważa, że nie istnieją żadne wymogi, które nakazywałyby producentowi oprogramowania rejestrowania luk, które odkrył samodzielnie i informowanie o nich. Zgadza się jednak ze zdaniem Ivana Arce, że takie działanie może narazić klientów na niebezpieczeństwo spowodowane złą oceną zagrożenia. Jeśli na przykład w łacie ocenionej przez Microsoft jako 'umiarkowana' znajdzie się poprawka dla krytycznej dziury, to niższy niż rzeczywisty status poprawki może zmylić użytkowników, którzy mogą zdecydować, że w takim razie odłożą na później zainstalowanie poprawki - mówi Storm.
Przedstawiciele Microsoftu przyznali, że po cichu załatano dziury.
Komentarze (0)