Microsoft nie załata Internet Explorera przed Pwn2Own

Koncern z Redmond poinformował, że w najbliższy wtorek udostępni pakiet aktualizacji, składający się z trzech biuletynów bezpieczeństwa. Będą one przeznaczone dla Windows oraz MS Office - a to znaczy, że Microsoft nie zamierza załatać znanej już od pewnego czasu luki w przeglądarce Internet Explorer. Jest to o tyle zaskakujące, że w przyszłym tygodniu IE stanie się celem ataku hakerów biorących udział w słynnym konkursie Pwn2Own.

Co prawda do tej pory Microsoft zwykle udostępniał poprawki dla IE tylko w parzyste miesiące (ostatnia aktualizacja dla przeglądarki pojawiła się w lutym), ale specjaliści spodziewali się, że tym razem Microsoft może złamać tę zasadę i załatać Internet Explorera tuż przed rozpoczynającym się 9 marca konkursem hakerskim Pwn2Own. Podczas tej imprezy eksperci ds. bezpieczeństwa będą próbowali wykorzystać nieznane wcześniej luki w IE, Chrome, Safari oraz Firefoksie.

"Wygląda na to, że Microsoft postanowił zagrać sprytnie - zamiast w panice i pośpiechu łatać ujawnione niedawno luki w IE, koncern woli poczekać i zobaczyć, jakie błędy w jego przeglądarce wykorzystają uczestnicy konkursu. Przypuszczam, że jeśli będą to jakieś naprawdę poważne luki, wtedy specjaliści z Microsoftu zajmą się nimi w pierwszej kolejności i udostępnią poprawki poza standardowym, miesięcznym, cyklem aktualizowania produktów firmy" - komentuje Josh Abraham, konsultant ds. bezpieczeństwa IT z firmy Rapid7.

Warto przypomnieć, że zarówno Google, jak i Mozilla zaktualizowali już swoje przeglądarki z myślą o Pwn2Own, zaś Apple prawdopodobnie zrobi to na początku przyszłego tygodnia.

Zamiast poprawek dla IE, Microsoft udostępni we wtorek trzy aktualizacje - dwie przeznaczone będą dla Windows, zaś jedna dla Office Groove 2007. Jedna poprawka dla Windows oznaczona będzie jako krytyczna, zaś resztę koncern uznał za "poważne". Z informacji opublikowanych przez koncern wynika, że wszystkie luki pozwalają na zdalne przejęcie kontroli nad systemem (aczkolwiek w dwóch przypadkach musi to być mocno utrudnione lub uzależnione od występowania jakichś nietypowych ustawień - w przeciwnym razie koncern uznałby wszystkie łaty za krytyczne).

Co ciekawe, owa krytyczna aktualizacja przeznaczona jest również dla najnowszej wersji Windows 7 - Win 7 SP1 (a także Windows Server 2008 R2 SP1). "Niestety, koncern udostępnił tak skąpe informacje, że nie jestem w stanie nawet zgadywać, jakie błędy zostaną usunięte w najbliższy wtorek. To dość nietypowe... i rozczarowujące" - skomentował Josh Abraham.

Dodajmy, że marcowy pakiet aktualizacji będzie najmniejszy od kilku miesięcy - Microsoft od grudnia co miesiąc raczył użytkowników co najmniej kilkunastoma biuletynami bezpieczeństwa (np. w lutym załatano w sumie aż 22 błędy w oprogramowaniu firmy), zaś teraz najwyraźniej postanowił dać im nieco odpocząć.


Zobacz również