Microsoft wiedział o luce w IE od pół roku

Gdy Microsoft udostępnił swój ostatni pakiet poprawek, wielu specjalistów chwaliło koncern za wyjątkowo szybkie (jak na tę firmę) załatanie wykrytej pod koniec listopada luki w Internet Explorerze. Teraz okazało się jednak, że pochwały były właściwie nieuzasadnione - bo Microsoft wiedział o tym błędzie od czerwca bieżącego roku.

Z informacji przedstawionych przez działający w ramach firmy VeriSign zespół iDefense wynika, że błąd został wykryty już ponad pół roku temu. Wtedy też przeanalizowali go specjaliści z iDefense, którzy następnie przekazali informacje na ten temat Microsofowi (nastąpiło to 9 czerwca 2009 r.). Warto dodać, że błąd wykrył anonimowy haker, który zgłosił go do VeriSign w ramach prowadzonego przez firmę programu Zero Day Initiative (ZDI - projekt polega na skupowaniu informacji o błędach i przekazywaniu ich producentom oprogramowania).

Przypomnijmy: pod koniec listopada internauta podpisujący się jako K4mr4n opublikował w Internecie exploita, umożliwiającego skuteczne zaatakowanie Windows przez nieznaną wcześniej lukę w zabezpieczeniach IE. Problem dotyczył wyłącznie IE6 i IE7 - zarówno starsze wersje (np. IE 5.01), jak i najnowsza (IE8) nie były podatne na atak.

Trzy dni później Microsoft oficjalnie potwierdził, że błąd istnieje i że dostępny w Internecie exploit jest skuteczny - koncern opublikował oficjalny alert, w którym dokładnie opisano problem i zasugerowano kilka metod zminimalizowania ryzyka ataku. W alercie zapowiedziano też, że wkrótce pojawi się poprawka - większość specjalistów wątpiła jednak, by Microsoft zdołał przygotować ją na 8 grudnia (czyli drugi wtorek miesiąca - dzień, w którym koncern zwykle publikuje poprawki).

Wszyscy byli zaskoczeni, gdy okazało się, że koncern zdołał jednak przygotować na czas odpowiednie uaktualnienie - Andrew Storms, szef działu bezpieczeństwa firmy nCircle Network Security, powiedział wręcz, że to rekordowy wynik. Bo faktycznie zwykle na poprawki trzeba było czekać znacznie dłużej - w przeszłości ich przygotowanie zajmowało koncernowi co najmniej kilka tygodni. Tym razem było znacznie szybciej - patch był gotowy w niespełna dwa tygodnie, zanim nastąpiły pierwsze ataki wykorzystujące nowy błąd.

Niektórzy, bardziej ostrożni, eksperci zastrzegali jednak, że na pochwały może być jeszcze za wcześniej - bo w dokumentacji poprawek Microsoftu znalazły się podziękowania dla firmy VeriSign za przekazanie informacji o tym błędzie (a to sugerowało, że koncern mógł dowiedzieć się o problemie zanim informacja o luce wypłynęła w mediach).

Teraz okazało się, że sceptycy mieli rację - z danych przedstawionych przez VeriSign wynika, że pełne informacje o luce Microsoft dostał już na początku czerwca 2009 r. Koncern na razie nie komentuje tych doniesień - trudno więc spekulować, dlaczego właściwie tak długo zwlekano z przygotowaniem poprawki.

Więcej informacji o najnowszym pakiecie uaktualnień koncernu z Redmond można znaleźć w tekście "Microsoft załatał 12 luk". Błąd w IE, o którym mowa w tekście, opisany jest w biuletynie MS09-072.