Gdy Microsoft udostępnił swój ostatni pakiet poprawek, wielu specjalistów chwaliło koncern za wyjątkowo szybkie (jak na tę firmę) załatanie wykrytej pod koniec listopada luki w Internet Explorerze. Teraz okazało się jednak, że pochwały były właściwie nieuzasadnione - bo Microsoft wiedział o tym błędzie od czerwca bieżącego roku.
securitystandard.pl — Z informacji przedstawionych przez działający w ramach firmy VeriSign zespół iDefense wynika, że błąd został wykryty już ponad pół roku temu. Wtedy też przeanalizowali go specjaliści z iDefense, którzy następnie przekazali informacje na ten temat Microsofowi (nastąpiło to 9 czerwca 2009 r.). Warto dodać, że błąd wykrył anonimowy haker, który zgłosił go do VeriSign w ramach prowadzonego przez firmę programu Zero Day Initiative (ZDI - projekt polega na skupowaniu informacji o błędach i przekazywaniu ich producentom oprogramowania).
Przypomnijmy: pod koniec listopada internauta podpisujący się jako K4mr4n opublikował w Internecie exploita, umożliwiającego skuteczne zaatakowanie Windows przez nieznaną wcześniej lukę w zabezpieczeniach IE. Problem dotyczył wyłącznie IE6 i IE7 - zarówno starsze wersje (np. IE 5.01), jak i najnowsza (IE8) nie były podatne na atak.
Trzy dni później Microsoft oficjalnie potwierdził, że błąd istnieje i że dostępny w Internecie exploit jest skuteczny - koncern opublikował oficjalny alert, w którym dokładnie opisano problem i zasugerowano kilka metod zminimalizowania ryzyka ataku. W alercie zapowiedziano też, że wkrótce pojawi się poprawka - większość specjalistów wątpiła jednak, by Microsoft zdołał przygotować ją na 8 grudnia (czyli drugi wtorek miesiąca - dzień, w którym koncern zwykle publikuje poprawki).
Wszyscy byli zaskoczeni, gdy okazało się, że koncern zdołał jednak przygotować na czas odpowiednie uaktualnienie - Andrew Storms, szef działu bezpieczeństwa firmy nCircle Network Security, powiedział wręcz, że to rekordowy wynik. Bo faktycznie zwykle na poprawki trzeba było czekać znacznie dłużej - w przeszłości ich przygotowanie zajmowało koncernowi co najmniej kilka tygodni. Tym razem było znacznie szybciej - patch był gotowy w niespełna dwa tygodnie, zanim nastąpiły pierwsze ataki wykorzystujące nowy błąd.
Niektórzy, bardziej ostrożni, eksperci zastrzegali jednak, że na pochwały może być jeszcze za wcześniej - bo w dokumentacji poprawek Microsoftu znalazły się podziękowania dla firmy VeriSign za przekazanie informacji o tym błędzie (a to sugerowało, że koncern mógł dowiedzieć się o problemie zanim informacja o luce wypłynęła w mediach).
Teraz okazało się, że sceptycy mieli rację - z danych przedstawionych przez VeriSign wynika, że pełne informacje o luce Microsoft dostał już na początku czerwca 2009 r. Koncern na razie nie komentuje tych doniesień - trudno więc spekulować, dlaczego właściwie tak długo zwlekano z przygotowaniem poprawki.
Więcej informacji o najnowszym pakiecie uaktualnień koncernu z Redmond można znaleźć w tekście "Microsoft załatał 12 luk". Błąd w IE, o którym mowa w tekście, opisany jest w biuletynie MS09-072.
re tad: "niech sobie przypomną technologie linuksowe z roku np. 2001" doskonale je pamiętam. i co? że niby coś z nimi było nie tak? pamiętam też doskonale mega wtopy zaliczane przez Windows raz za razem. Wczoraj i dziś.
@Wesoły Albo można też iść do takiej firmy, jak moja, gdzie robimy serwery wirtualne takie, jakie sobie klient zażyczy - i zapytać dlaczego tak mało serwerów na Windowsach. Odpowiedź będzie - bo coraz mniej firm chce się z tym babrać.
@lysy, bo w szkole tresuje się dzieci na Windowsie i MS Office :-) A Tadziu jak napisałem z początku - coś tam wybełkotał na inny temat i tyle. Idź do giełdy papierów wartościowych w Londynie i zapytaj czemu zrezygnowali z Windowsa. Idź do Nowego Yorku na giełdę i zapytaj czemu tam go nie używają. Wybełkotaj im to swoje "120% normy" i powiedz że Linux jest dla studentów i środowisk akademickich. A oni Ci powiedzą że nie chcą by giełda nagle przez głupiego Windowsa i kiepski system w technologi .net za 60 MILIONÓW DOLARÓW rozsypywał się co jakiś czas wyłączając giełdę z działania na dobrych kilka godzin. Potem idź do firmy i zapytaj się czemu ich serwer od IBM działa na Linuksie. Potem idź do tych 2% ludzi na świecie i przekonuj do Windowsa. Idź do administratorów wdrażających Linuksa i wybełkotaj im te swoje 120% normy. Potem idź do Francji czy Wielkiej Brytani i bełkotaj im to samo. Wiesz co Ci odpowiedzą ? PANIE, MY WINDOWSA ZNAMY I NIE CHCEMY. WYBRALIŚMY COŚ LEPSZEGO I TAŃSZEGO. Bo taki jest biznes. SZYBCIEJ, TANIEJ, LEPIEJ. A w 2001 roku Linuksy miały się równie dobrze jak dzisiaj. W 2001 roku po prostu nie były tak popularne na desktopach. Świat idzie na przód. MS też nie myślał że jakiś Firefox który ma parę lat na karku nagle wysadzi ich z siodła. Nie myślał że jakaś przeglądarka o głupiej nazwie google nagle zawojuje świat. Oni w ogóle nie
Nowe wydanie
wydrukuj
wyślij znajomemu
skomentuj
