Microsoft blokuje kodek - zamiast go załatać

Zespół zajmujący się bezpieczeństwem produktów Microsoftu poinformował, że koncern zdecydował się ostatnio na nietypowe rozwiązanie problemu z bezpieczeństwem Windows 2000, XP oraz Server 2003. W zabezpieczeniach jednego z wykorzystywanych w tych OS-ach kodeków wideo wykryto kilka poważnych błędów - Microsoft nie załatał ich, tylko wyłączył obsługę owego kodeka.

Uaktualnienie, wprowadzające takie zmiany do wymienionych powyżej systemów pojawiły się w ubiegły wtorek, w ramach comiesięcznego pakietu poprawek Microsoftu. Jego zadaniem było wyłączenie w Windows obsługi wykorzystywanego od blisko 17 lat kodeka wideo Indeo (wykorzystywanego do kompresowania danych wideo przesyłanych w Internecie i odtwarzanych w IE lub Windows Media Playerze). Poprawka nie tylko dezaktywowała kodek w systemie, ale dodatkowo blokowała zewnętrznym aplikacjom dostęp do niego.

Na razie nie wiadomo, jak dużo błędów wykryto w Indeo - ale z nieoficjalnych informacji wynika, że jest ich co najmniej kilka. W ubiegłym tygodniu dwie firmy (VeriSign iDefense oraz Fortinet) informowały o tym, że Microsoft dostał od nich zgłoszenia o lukach w tym oprogramowaniu. Warto dodać, że o luce wykrytej przez specjalistów z iDefense Microsoft wiedział od ponad roku.

Wtorkowe uaktualnienie przeznaczone były jedynie dla starszych wersji Windows - w Windows Vista, 7 oraz Server 2008 problemu nie ma, bo kodek ów jest domyślnie zablokowany. Microsoft tłumaczy, że dla użytkowników Windows 2000 czy XP nie powinien to być duży problem, bo Indeo jest obecnie wykorzystywany niezwykle rzadko. "Działania, które podjęliśmy, miały na celu zapewnienie naszym klientom bezpieczeństwa. Wiemy, że przestępcy zaczęli już wykorzystywać luki w Indeo do atakowania użytkowników Windows - ataki polegają na instalowaniu w systemie złośliwego oprogramowania" - mówią przedstawiciele koncernu.

Warto odnotować, że blokowanie oprogramowania zamiast jego łatania to w przypadku Microsoftu rzadkość - koncern sporadycznie stosuje taką metodą blokowania ataków. "Rzeczywiście, to dość nietypowa sytuacja. Korzystamy z tej metody rzadko, ponieważ zwykle sporym wyzwaniem jest zablokowanie jakiegoś komponentu tak, by użytkownicy naszych produktów nie zauważyli istotnych zmian w działaniu oprogramowania" - tłumaczy rzecznik Microsoftu.

Tym razem z koncernem zgadzają się specjaliści ds. bezpieczeństwa. "Faktycznie, w tym przypadku łatanie kodeka nie byłoby zbyt rozsądne. Microsoft już od kilku lat stopniowo wycofuje Indeo z użytku - nowe wersje Windows już go nie obsługują, zaś użytkownicy starszych stykają się z nim sporadycznie. Moim zdaniem mamy do czynienia z klasycznym redukowaniem powierzchni potencjalnego ataku" - mówi Richie Lai, dyrektor zespołu ds. badań nad błędami w oprogramowaniu, działającego w ramach firmy Qualys.

I faktycznie - Microsoft tak właśnie wyjaśnia swój krok: "Naszym celem było zablokowanie możliwości przeprowadzenia większości ataków wykorzystujących luki w Indeo. Uznaliśmy, że skoro problem dotyczy starego i niezwykle rzadko wykorzystywanego dziś oprogramowania, to zablokowanie jego obsługi będzie lepszym rozwiązaniem niż łatanie poszczególnych wykrytych w nim błędów" - mówi rzecznik koncernu.

Warto dodać, że Microsoft nie pierwszy raz zastosował taką metodę zabezpieczenia oprogramowania - przed kilkoma miesiącami podobnie rozwiązano problem z modułem odpowiedzialnym w Windows 2000 Server SP4 za obsługę protokołu TCP/IP.

Więcej informacji o grudniowym pakiecie poprawek dla produktów koncernu z Redmond można znaleźć w tekście "Microsoft łata 12 błędów".