Microsoft přiznává, že o závažné chybě v IE rok a půl věděl. Kritiku ale odmítá

Novinky | 12.07.09

Přes přiznání dlouhodobé znalosti závažné chyby v prohlížeči, jež hackeři využili k útokům na uživatele, Microsoft brání svou bezpečnostní politiku.





Microsoft přiznal, že o nebezpečné chybě v IE 6 a 7 dlouhou dobu věděl

Microsoft potvrdil spekulace o tom, že měsíce věděl o závažné chybě v IE 6 a 7, kterou nedávno hackeři využili k útokům na uživatele těchto prohlížečů a operačního systému Windows XP. Přesto softwarový gigant obhajuje svoji politiku vydávání bezpečnostních záplat na chyby odhalené v jeho software. Chyba v komponentě ActiveX je totiž prý natolik specifický a složitá, že vyžaduje velmi dlouhou a náročnou práci vytvořit záplatu na ni. Většina odborníku to však považuje za přespříliš dobu na to, jak nebezpečný tento nedostatek IE 6 a 7 pro uživatele je. Microsoft nedávno také odmítl nařčení z toho, že na útoky okamžitě nezareagoval a prohlásil, že den po dozvědění se o útocích, přikročil k dočasnému opatření v podobě možnosti úplně vypnout ActiveX skrze funkci „fix it“ na stránkách uživatelské podpory Microsoftu. Bezpečnostní oddělení IBM přitom o útocích využívajících této chyby v IE informovala již před měsícem.

Chybu objevili dva zaměstnanci bezpečnostního oddělení IBM ISS X-Force, Ryan Smith a Alex Wheeler. Wheeler objevení chyby oznámil a většinu zásluh přiznal svému spolupracovníku Smithovi. Nechtěl však říci, kdy bylo objevení kritického místa v IE sděleno Microsoftu. „Necítím se příliš pohodlně při mluvení o této věci," řekl Wheeler, který je od ledna 2008 zaměstnancem texaského DVLabs. Identifikační označení (CVE -Common Vulnerabilities and Exposures - number) nebezpečné chyby CVE-2008-0015 naznačuje, že bylo objevení chyby oznámeno na počátku roku 2008. Dle databázových údajů bylo navíc tento identifikační kód rezervován již 13. prosince 2007.

 

 














Komentáře