Microsoft wie o dziurze od 18 miesięcy
Microsoft przyznał, że od półtora roku wiedział o skrajnie krytycznej luce, o której świat dowiedział się przed kilkoma dniami. Wyjątkowo niebezpieczna dziura pozwala na zaatakowanie komputerów z systemami Windows XP i Windows Server 2003, na których zainstalowano Internet Explorera 6 lub 7. Do przeprowadzenia ataku nie jest potrzebna żadna interakcja ze strony użytkownika. Wystarczy, że odwiedzi on odpowiednio spreparowaną witrynę.
Koncern z Redmond został poinformowany o istnieniu luki na początku 2008 roku przez dwóch specjalistów z IBM-owskiego zespołu ISS X-Force.
Analitycy nie pozostawiają na Microsofcie suchej nitki. To nieakceptowalnie długo. Załatanie luki nie powinno trwać 18 miesięcy, nie w przypadku tak wielkiej firmy jak Microsoft - mówi John Pescatora z Gartnera. Trudno sobie wyobrazić, by za 18-miesięczną zwłoką stały jakieś przyczyny techniczne. To oznacza, że wpłynęły na nią względy biznesowe, coś związanego z samym produktem lub też chodzi o priorytety - dodaje.
Microsoft broni się mówiąc, że śledztwo w sprawie luki i wszelkich aspektów z nią związanych rozpoczęto natychmiast po otrzymaniu informacji o niej. Jednak nawet przedstawiciele firmy przyznają, że jej łatanie trwa zbyt długo i nie potrafią wyjaśnić przyczyn zwłoki.
Ryan Smith, jeden z odkrywców dziury, nie jest nastawiony tak krytycznie jak Pescatore. To problem jedyny w swoim rodzaju. Mechanizm jego działania jest unikalny. Myślę, że dlatego zabrało im to tak dużo czasu - mówi. Dodaje przy tym, że Microsoft informował go na bieżąco o postępach prac nad poprawką.
W najbliższy wtorek w ramach comiesięcznego zestawu zabezpieczeń Microsoft opublikuje łatę, która uniemożliwi przeprowadzanie ataków na dziurę. Jednak nie będzie to poprawka w pełnym sensie tego słowa.
Pierwsze ataki na wspomnianą dziurę pojawiły się 11 czerwca bieżącego roku. Microsoft dowiedział się o nich 5 lipca. Zarówno koncern z Redmond jak i odkrywcy luki odmawiają podania szczegółów na jej temat.
Komentarze (5)
czesiu, 10 lipca 2009, 14:38
"It's not a bug it's a feature"
A tak poważniej mówiąc: Po co Microsoft nadal tworzy Internet Explorera, na początku, gdy nic nie było IE był świetnym pomysłem, choć i tak skierowanym przeciwko przeglądarce Netscape Navigator. Dzisiaj to jest raczej tradycja, która Microsoftowi od lat odbija się czkawką, właśnie za pośrednictwem KRYTYCZNYCH błędów, które nawet jak są łatane, to dopiero w Patchday, a nie od ręki. Zła reputacja IE nie wzięła się z powietrza.
MrVocabulary (WhizzKid), 11 lipca 2009, 12:21
Musztarda po obiedzie. Teraz i tak w aktualizacjach automatycznych jest IE8. Ale dziwi, że przez półtora roku nic nie zrobili - normalnie się czeka do wtorku...
Mariusz Błoński, 11 lipca 2009, 15:19
Bardzo dziwne. Tym bardziej, że w przypadku luk tej klasy i do wtorku nie trzeba czekać. Mniej poważne dziury łatali poza Patch Tuesday.
czesiu, 11 lipca 2009, 16:34
Wcale nie taka musztarda po obiedzie - zrobili to z błędem w IE 6/7 jaką masz gwarancję, że nie będzie tak samo z IE8, jak bym miał obstawiać szybkie łatanie dziur/olewanie dziur szybciej postawił bym na olanie krytycznej dziury przez minimum pół roku niż na 100% załatania krytycznych dziur w czasie do pół roku.
Powyższe stwierdzenie jest tak prawdziwe jak "system Microsoftu nadaje się do użytku dopiero po wydaniu SP2", zobaczycie nawet Windows 7 rozwinie W PEŁNI skrzydła dopiero od wydania SP2.
thibris, 13 lipca 2009, 12:12
Ciekawe czy ryzyko utraty wiarygodności się im opłaciło. Przez długi czas budują swoją wiarygodność za pomocą Sevena chociażby, a tu taki trup z szafy :/