Microsoft wciąż łata po kryjomu
W aktualizacjach Microsoftu wciąż pojawiają się poprawki luk w zabezpieczeniach, które nie są wymieniane w biuletynach. W artykule w blogu zespołu Security Research & Defense producent software'u właśnie stanął w obronie takich cichych uaktualnień.
Kiedy eliminowany jest błąd istotny z punktu widzenia bezpieczeństwa, zespół Security Team nie tylko przegląda sąsiadujący z nim kod w poszukiwaniu luk, ale też próbuje znaleźć podobne usterki w innych miejscach. W tym celu czasami problematyczny program jest poddawany badaniu za pomocą fuzzera.
Znalezione w ten sposób wady Microsoft określa mianem wariantów; są one eliminowane bez wszczynania dodatkowego alarmu. Niemniej jednak wnioski i obserwacje są podawane w ocenach zawartych w biuletynie. Często zdarza się więc, że producent z powodu nieujawnianych publicznie wariantów usterek podnosi wskaźnik Exploitability Index.
Wtedy takie luki nie pojawiają się w bazie Common Vulnerabilities and Exposures (CVE), która jest wykorzystywana jako podstawa do badań porównawczych. Ten stan rzeczy Microsoft uzasadnia faktem, że w przypadku wariantów firma nie wnioskuje o numery CVE, ponieważ projekt CVE ma na celu tworzenie listy publicznie znanych luk w zabezpieczeniach. To z kolei - zdaniem Microsoftu - nie obejmuje problemów z zabezpieczeniami znalezionymi wewnątrz firmy.
Nawiasem mówiąc, innym znanym przypadkiem, kiedy Microsoft po cichu naprawia usterki bezpieczeństwa są wielkie zbiorcze aktualizacje, np. spodziewany już wkrótce Service Pack 1 dla Windows 7. Wersje RTM, które do tej pory wyciekły do internetu, są już brane pod lupę między innymi pod tym kątem. Niezależnie od oceny postępowania Microsoftu wspomniany na początku artykuł w blogu nie pozostawia wątpliwości co do tego, że badania wykorzystujące rekordy z bazy CVE pozwalają jedynie na ograniczone obserwacje bezpieczeństwa oprogramowania.
