Microsoft měsíce věděl o chybě v IE 6 a 7 a ignoroval ji

Novinky | 09.07.09

Dva vývojáři z bezpečnostního oddělení IBM objevili kritickou chybu v IE již před mnoha měsíci. Microsoft však na ni přesto nevydal potřebnou záplatu.





Microsoft o chybě v IE 6 a 7 věděl 18 měsíců

 

Před dvěma dny Microsoft přiznal sérii útoku hackerů na uživatele Internet Exploreru 6 a 7, kdy útočníci využili chyby v ovládacím prvku ActiveX. O této chybě ale Microsoft možná věděl celé měsíce a nevydal na ní přesto žádnou záplatu. Chybu objevili dva zaměstnanci bezpečnostního oddělení IBM ISS X-Force, Ryan Smith a Alex Wheeler. Wheeler objevení chyby oznámil a většinu zásluh přiznal svému spolupracovníku Smithovi. Nechtěl však říci, kdy bylo objevení kritického místa v IE sděleno Microsoftu. „Necítím se příliš pohodlně při mluvení o této věci," řekl Wheeler, který je od ledna 2008 zaměstnancem texaského DVLabs. Identifikační označení (CVE -Common Vulnerabilities and Exposures - number) nebezpečné chyby CVE-2008-0015 naznačuje, že bylo objevení chyby oznámeno na počátku roku 2008. Dle databázových údajů bylo navíc tento identifikační kód rezervován již 13. prosince 2007.

 

Microsoft neodpověděl na otázku, kdy byl o kritické chybě informován, ale ať už to bylo na konci roku 2007 či počátkem roku 2008, nevydal na ní žádnou záplatu. Jako dočasné řešení nyní Microsoft radí uživatelům IE 6 a 7 navštívit stránky podpory a nápovědy Microsoftu a využít funkce „fix it", která komponentu ActiveX, v níž se chyba skrývá, vypne. Zda bude záplata na tento bug vydána již při další pravidelné bezpečnostní aktualizaci 14. července, zatím Microsoft neuvedl.

 














Komentáře