Logowanie
Rejestracja
Pomoc
Cytat
Wśród luk, załatanych we wtorek przez Microsoft, znalazły się m.in. trzy błędy w kontrolkach ActiveX, wchodzących w skład aplikacji z rodziny MS Office. Okazuje się, że koncern bardzo długo zwlekał z ich załataniem - specjaliści z firmy, która wykryła ów problem, twierdzą, że Microsoft wiedział o problemie od dwóch lat.
Eksperci z projektu Zero Day Initiative (prowadzonego przez firmę TippingPoint Technologies, należącą do grupy 3Com) mówią, że wykryli owe błędy i zgłosili je do Microsoftu jeszcze w 2007 r. Chodzi o trzy luki w komponentach ActiveX, wykorzystywanych przez przez Internet Explorera do wyświetlania zawartości dokumentów Word, Excel oraz PowerPoint. Jeden z tych błędów - luka w kontrolce wykorzystywanej do generowania podglądu arkuszy kalkulacyjnych .xls - była szczególnie niebezpieczna. Internetowi przestępcy już od blisko miesiąca wykorzystywali ją do atakowania użytkowników oprogramowania Microsoftu.
Zaraz po opublikowaniu przez Microsoft swoich comiesięcznych biuletynów bezpieczeństwa głos w tej sprawie zabrali pracownicy Zero Day Initiative - we własnym alercie zwracają uwagę, że koncern z Redmond o dwóch błędach wiedział od marca 2007 r., zaś o trzecim - od grudnia 2007 r. "Microsoft zwykle sumiennie współpracuje z odkrywcami błędów i szybko rozwiązuje zgłaszane przez nas problemy. Jednak ten przypadek pokazuje, że nie zawsze wszystko odbywa się tak szybko, jak powinno" - czytamy w dokumencie ZDI.
Mimo iż Microsoft zwlekał aż 29 miesięcy, eksperci nie krytykują firmy - Cody Pierce z TippingPoint tłumaczy, że te błędy są dość specyficzne i trudne do wykorzystania (potwierdzeniem tej tezy jest fakt, iż przez tak długi czas nikt nie atakował użytkowników przez te luki). "Takie błędy są bardzo skomplikowane - czasami stworzenie poprawki, która nie zakłóci funkcjonowania aplikacji, może zająć lata" - mówi Pierce.
O błędach w zabezpieczeniach ActiveX zrobiło się głośno przed miesiącem - zaledwie na dzień przed udostępnieniem lipcowego pakietu poprawek Microsoft wydał specjalny alert, w którym ostrzegł użytkowników Internet Explorera przed atakami wykorzystującymi luki w ActiveX. Tego samego dnia eksperci z firmy Sophos dowiedli, że ataki takie są bardzo powszechne - wykryli w sieci setki stron z osadzonymi odpowiednimi exploitami (dalsze analizy wykazały, że exploity wykorzystujące luki w komponentach Internet Explorera już kilka wcześniej trafiły do najpopularniejszych narzędzi hakerskich).
Koncernu nie krytykuje również Don Retallack, specjalista ds. bezpieczeństwa z firmy analitycznej Directions on Microsoft (zajmującej się głównie monitorowaniem działań koncernu z Redmond). "Trudno powiedzieć, co mogło być przyczyną tak długiej zwłoki - wiem jednak, że microsoftowy zespół ds. bezpieczeństwa jest bardzo profesjonalny. Koncern poświęca zwykle mnóstwo czasu na stworzenie i odpowiednie przetestowanie patchy - trzeba pamiętać, że niekiedy porządne załatanie błędu jest zdecydowanie ważniejsze niż szybkie rozwiązanie problemu. Wydaje się, że tak było w tym przypadku" - mówi Retallack.
Dodajmy, że to nie pierwszy przypadek tak długiej zwłoki - również przed miesiącem doszło do podobnej sytuacji. Po opublikowaniu lipcowego pakietu poprawek okazało się, że jeden z załatanych błędów zgłoszono do Microsoftu ponad półtora roku wcześniej. Dlatego też niektórzy analitycy nie znajdują usprawiedliwienia dla kolejnego opóźnienia - "Tak długa zwłoka jest niedopuszczalna. To nie powinno trwać rok czy nawet więcej - firma wielkości Microsoftu powinna robić to szybciej" - komentuje John Pescatore z firmy Gartner.
Oczywiście, Microsoft tłumaczy, że w tak długim przygotowywaniu poprawki nie ma nic złego - "Każda luka ma swoją specyfikę i wiąże się z nietypowymi wyzwaniami dla autorów poprawki. Stworzenie skutecznego patcha, który nie spowoduje żadnych problemów z kompatybilnością, jest zawsze naszym priorytetem. Dlatego też publikujemy tylko te uaktualnienia, które przejdą przez naszą rygorystyczną procedurę testową" - tłumaczy Christopher Budd, rzecznik Microsoft Security Research Center (MSRC).
Eksperci z projektu Zero Day Initiative (prowadzonego przez firmę TippingPoint Technologies, należącą do grupy 3Com) mówią, że wykryli owe błędy i zgłosili je do Microsoftu jeszcze w 2007 r. Chodzi o trzy luki w komponentach ActiveX, wykorzystywanych przez przez Internet Explorera do wyświetlania zawartości dokumentów Word, Excel oraz PowerPoint. Jeden z tych błędów - luka w kontrolce wykorzystywanej do generowania podglądu arkuszy kalkulacyjnych .xls - była szczególnie niebezpieczna. Internetowi przestępcy już od blisko miesiąca wykorzystywali ją do atakowania użytkowników oprogramowania Microsoftu.
Zaraz po opublikowaniu przez Microsoft swoich comiesięcznych biuletynów bezpieczeństwa głos w tej sprawie zabrali pracownicy Zero Day Initiative - we własnym alercie zwracają uwagę, że koncern z Redmond o dwóch błędach wiedział od marca 2007 r., zaś o trzecim - od grudnia 2007 r. "Microsoft zwykle sumiennie współpracuje z odkrywcami błędów i szybko rozwiązuje zgłaszane przez nas problemy. Jednak ten przypadek pokazuje, że nie zawsze wszystko odbywa się tak szybko, jak powinno" - czytamy w dokumencie ZDI.
Mimo iż Microsoft zwlekał aż 29 miesięcy, eksperci nie krytykują firmy - Cody Pierce z TippingPoint tłumaczy, że te błędy są dość specyficzne i trudne do wykorzystania (potwierdzeniem tej tezy jest fakt, iż przez tak długi czas nikt nie atakował użytkowników przez te luki). "Takie błędy są bardzo skomplikowane - czasami stworzenie poprawki, która nie zakłóci funkcjonowania aplikacji, może zająć lata" - mówi Pierce.
O błędach w zabezpieczeniach ActiveX zrobiło się głośno przed miesiącem - zaledwie na dzień przed udostępnieniem lipcowego pakietu poprawek Microsoft wydał specjalny alert, w którym ostrzegł użytkowników Internet Explorera przed atakami wykorzystującymi luki w ActiveX. Tego samego dnia eksperci z firmy Sophos dowiedli, że ataki takie są bardzo powszechne - wykryli w sieci setki stron z osadzonymi odpowiednimi exploitami (dalsze analizy wykazały, że exploity wykorzystujące luki w komponentach Internet Explorera już kilka wcześniej trafiły do najpopularniejszych narzędzi hakerskich).
Koncernu nie krytykuje również Don Retallack, specjalista ds. bezpieczeństwa z firmy analitycznej Directions on Microsoft (zajmującej się głównie monitorowaniem działań koncernu z Redmond). "Trudno powiedzieć, co mogło być przyczyną tak długiej zwłoki - wiem jednak, że microsoftowy zespół ds. bezpieczeństwa jest bardzo profesjonalny. Koncern poświęca zwykle mnóstwo czasu na stworzenie i odpowiednie przetestowanie patchy - trzeba pamiętać, że niekiedy porządne załatanie błędu jest zdecydowanie ważniejsze niż szybkie rozwiązanie problemu. Wydaje się, że tak było w tym przypadku" - mówi Retallack.
Dodajmy, że to nie pierwszy przypadek tak długiej zwłoki - również przed miesiącem doszło do podobnej sytuacji. Po opublikowaniu lipcowego pakietu poprawek okazało się, że jeden z załatanych błędów zgłoszono do Microsoftu ponad półtora roku wcześniej. Dlatego też niektórzy analitycy nie znajdują usprawiedliwienia dla kolejnego opóźnienia - "Tak długa zwłoka jest niedopuszczalna. To nie powinno trwać rok czy nawet więcej - firma wielkości Microsoftu powinna robić to szybciej" - komentuje John Pescatore z firmy Gartner.
Oczywiście, Microsoft tłumaczy, że w tak długim przygotowywaniu poprawki nie ma nic złego - "Każda luka ma swoją specyfikę i wiąże się z nietypowymi wyzwaniami dla autorów poprawki. Stworzenie skutecznego patcha, który nie spowoduje żadnych problemów z kompatybilnością, jest zawsze naszym priorytetem. Dlatego też publikujemy tylko te uaktualnienia, które przejdą przez naszą rygorystyczną procedurę testową" - tłumaczy Christopher Budd, rzecznik Microsoft Security Research Center (MSRC).
http://www.idg.pl/ne....dwoch.lat.html
to dlatego kochamy Microsoft...
"
Cytuj