"Niezależny" patch dla IE

Formacja ZERT (Zeroday Emergency Response Team) - czyli grupa niezależnych ekspertów ds. zabezpieczeń - udostępniła uaktualnienie dla przeglądarki Internet Explorer Microsoftu, łatające wykryty niedawno błąd związany z obsługę języka VML (Vector Markup Language). Koncern z Redmond odradza jednak jego instalowanie - tłumacząc, iż wszystkie uaktualnienia dla produktów Microsoftu powinny przechodzić rygorystyczne testy w laboratoriach firmy.

O luce w VML informowaliśmy w ubiegłym tygodniu, w tekście "Nowa luka w IE - wielbiciele rosyjskiego porno zagrożeni". Co ważne, błąd ten jest już wykorzystywany przez autorów złośliwego oprogramowania - do tworzenia programów szpiegowskich, infekujących system poprzez strony WWW. Na oficjalne uaktualnienie Microsoftu poczekać trzeba będzie najprawdopodobniej do 10 października (czyli najbliższego drugiego wtorku miesiąca - w ten dzień koncern zwykle udostępnia comiesięczne pakiety łatek).

Dlatego też wspomniana wyżej grupa specjalistów przygotowała własne uaktualnienie dla IE, usuwające lukę związaną z VML - przedstawiciele formacji tłumaczą, że chcą w ten sposób powstrzymać rozprzestrzenianie się złośliwego oprogramowania korzystającego z tego błędu. Co więcej, ZERT deklaruje, że w przyszłości zamierza przygotowywać kolejne niezależne łaty dla popularnych aplikacji - jeśli ich producenci będą spóźniać się z usuwaniem błędów. "Microsoft stara się trzymać swojego stałego cyklu udostępniania łatek - i my to rozumiemy, ponieważ istnieje szereg korzyści wynikających z takiej regularności. Jednak kiedy dzieje się coś poważnego - np. pojawia się poważny błąd w IE związany z VML - po prostu trzeba coś z tym szybko zrobić" - tłumaczy jeden z członków ZERT, Roger Thompson (szef działu IT w firmie Exploit Prevention Labs).

Microsoft: doceniamy, ale odradzamy

Microsoft deklaruje, że docenia dobre chęci członków ZERT ("To wspaniałe, że są ludzie, którzy pomagają nam w chronieniu naszych klientów" - mówi Scott Deacon z Microsoft Security Response), jednak firma po raz kolejny podkreśliła, że nigdy nie zaleca swoim klientom instalowania "nieautoryzowanych" uaktualnień dla swoich produktów. "Nasze łaty są rygorystycznie testowane w celu wyeliminowania wszelkich problemów, które mogą pojawić się po ich zainstalowaniu. Patch ZERT-u takich testów nie przeszedł - dlatego odradzamy klientom jego instalowanie" - dodaje Deacon.

Więcej informacji o uaktualnieniu przygotowanym przez ZERT (oraz plik do pobrania) znaleźć można na oficjalnej stronie grupy (podkreślamy raz jeszcze, iż Microsoft odradza instalowanie tego uaktualnienia).