Microsoft przyznaje: wiedzieliśmy o tym błędzie

Koncern z Redmond wydał oświadczenie, w którym przyznał, że wiedział o poważnej luce w Internet Explorerze (która obecnie wykorzystywana jest do atakowania internautów) już od półtora roku. Zdaniem specjalistów ds. bezpieczeństwa, tak długie ignorowanie potencjalnie niebezpiecznego dla użytkowników błędu jest niedopuszczalne.

Mike Reavey, szef microsoftowego działu Security Response Center (MSRC), poinformował, że koncern pierwszy raz usłyszał o błędzie w IE 6 i IE 7 (zainstalowanych w Windows XP) na początku 2008 r. Wtedy to problem zgłosili dwaj specjaliści ds. bezpieczeństwa z działającego w ramach IBM zespołu ISS X-Force - Ryan Smith oraz Alex Wheeler (obydwaj odeszli już z X-Force - Smith pracuje w VeriSign iDefense, zaś Wheeler w należącym do 3Com zespole TippingPoint DVLabs).

Dodajmy, że obaj panowie przed kilkoma dniami odmówili podania dokładnej daty zgłoszenia problemu Microsoftowi - jednak wiele wskazywało na to, że koncern mógł wiedzieć o luce już na początku ubiegłego roku (m.in. symbol zgłoszenia CVE - Common Vulnerabilities and Exposures).

"To niedopuszczalna zwłoka!"

Zdaniem specjalistów, półtora roku to zdecydowanie zbyt długo - "Taka zwłoka jest po prostu nie do zaakceptowania - firmie takiej jak Microsoft załatanie luki nie powinno zajmować kilkanaście miesięcy. Nie mogę sobie wyobrazić żadnych technicznych powodów, dla których usunięcie błędu mogłoby trwać tak długo. A skoro ich nie ma, to pewnie były inne powody - może chodzi o jakieś czynniki biznesowe, a może to po prostu kwestia priorytetów. Ale taka luka powinna mieć bardzo wysoki priorytet" - komentuje Pescatore, główny konsultant ds. bezpieczeństwa firmy analitycznej Gartner.

Redmond się broni

Microsoft odpiera te zarzuty - "Rozpoczęliśmy dochodzenie w tej sprawie gdy tylko dowiedzieliśmy się o błędzie. Za każdym razem, gdy ktoś zgłasza do nas lukę w naszym produkcie, przeprowadzamy dokładną analizę problemu - przyglądamy się nie tylko błędowi, ale także wszelkim okolicznościom dodatkowym. Chodzi o to, by zapewnić naszym klientom maksymalną ochronę" - tłumaczy Mike Reavey. Przedstawiciel Microsoftu przyznał jednak, że 16 miesięcy (a może nawet 18 - koncern nie podał dokładnej daty zgłoszenia błędu) to wyjątkowo długi czas oczekiwania na poprawkę. "To nie jest nasza norma - większość błędów łatamy znacznie szybciej, zwykle na długo przed pojawieniem się ataku wykorzystującego daną lukę" - dodaje Reavey.

Dlaczego więc czekaliśmy tak długo? Microsoft nie podaje dokładnej przyczyny - ale jeden z odkrywców luki, Ryan Smith, ma własną teorię. "To bardzo nietypowy, wręcz unikalny błąd - sądzę, że to właśnie to było główną przyczyną, dla której Microsoft potrzebował na to znacznie więcej czasu, niż zwykle" - mówi ekspert. Smith dodaje też, że koncern cały czas pracuje nad poprawką - aczkolwiek zastrzega, że generalna zasada głosi "lepiej łatać szybko, niż powoli".

Poprawki wciąż nie ma

Warto zaznaczyć, że tak naprawdę to Microsoft wciąż nie ma gotowej poprawki - firma udostępniła na razie jedynie narzędzie, umożliwiające łatwe wyłączenie podatnego na atak modułu Internet Explorera (chodzi o jedną z kontrolek ActiveX). W przyszłym tygodniu narzędzie to ma trafić do systemu aktualizacyjnego Microsoft Update (zostanie ono automatycznie zainstalowane wraz z innymi poprawkami udostępnionymi przez Microsoft w drugi wtorek miesiąca - 14 lipca).

Dlaczego w takim razie Microsoft nie opublikował tego narzędzia wcześniej? Mike Reavey tłumaczy, że koncern chciał zaoferować klientom "kompletne rozwiązanie" - tzn. przetestowaną, sprawną poprawkę. Sytuacja zmieniła się, gdy kilka dni temu odnotowano pierwsze ataki wykorzystujące ową lukę - wtedy koncern uznał, że nie można dłużej czekać na "pełną" poprawkę i lepiej będzie udostępnić narzędzie, które choć częściowo rozwiąże problem.

"O atakach wiemy od niedawna"

Mike Reavey przy okazji zdementował doniesienia, jakoby Microsoft wiedział o takich atakach już od kilku tygodni (w oświadczeniu wydanym przez ISS X-Force napisano, że ataki trwają od początku czerwca). "O problemie dowiedzieliśmy się na dzień przed opublikowaniem naszego alertu w tej sprawie i udostępnieniem narzędzia do wyłączenia kontrolki ActiveX. Zareagowaliśmy natychmiast - sprawdziliśmy, co możemy zrobić w tej chwili i podjęliśmy stosowne działania" - tłumaczy Reavey.

Przedstawiciel koncernu zdecydowanie zaprzeczył również pogłoskom, w myśl których Microsoft mógł sam udostępnić przestępcom informacje o błędach - w Internecie pojawiły się sugestie, że koncern opublikował jakieś szczegóły techniczne luki w IE w ramach programu MAPP (Microsoft Active Protection Program - służącego do udostępniania firmom zajmującym się bezpieczeństwem informacji o poprawkach, nad którymi pracuje Microsoft).

Miliony niebezpiecznych stron?

Trwające już ataki na użytkowników IE6 i 7 (zainstalowane w Windows XP lub Windows Server 2003) zwykle polegają na zwabieniu internauty na złośliwą stronę WWW, która automatycznie instaluje w systemie niebezpieczny kod (użytkownik nie musi nic robić - wystarczy, że wyświetli w IE taką stronę). Firma ScanSafe szacuje, że obecnie w Sieci są setki tysięcy, a być może nawet miliony, takich witryn - w większości są to pozornie bezpieczne strony, na które przestępcy zdołali się włamać i osadzili złośliwy kod).

Więcej o nowym problemie z IE pisaliśmy już w tekstach "Microsoft wiedział o błędzie w IE od... 18 miesięcy?" oraz "Internet Explorer jest podatny na nowy atak".


Zobacz również