Zbyt wcześnie pochwalili Microsoft
Z informacji udostępnionych przez VeriSign iDefense wynika, że Microsoft od wielu miesięcy wiedział o niedawno załatanej dziurze typu zero-day w IE6 oraz IE7. Wszystko wskazuje na to, że koncern zwlekał z łataniem luki gdyż... nie była ona wykorzystywana przez cyberprzestępców.
Pochwały pod adresem koncernu z Redmond, który w ciągu kilkunastu dni przygotował poprawkę, są zatem przedwczesne. Jak dowiadujemy się z prowadzonego przez iDefense programu Zero Day Initiative, Microsoft otrzymał informację o dziurze już 9 czerwca bieżącego roku. Firma nic z tym nie zrobiła, mimo że dziura dotyczyła programów, których udziały w rynku sięgają 40 proc.
W końcu, 20 listopada w sieci pojawił się szkodliwy kod. Poprawka została udostępniona po kilkunastu dniach, podczas ostatniego Patch Tuesday. Eksperci byli zaskoczeni, że udało się ją przygotować i przetestować tak szybko. Microsoft zebrał pochwały.
Okazuje się jednak, że były one nieuzasadnione. Koncernowi Ballmera udawało się w przeszłości szybko przygotować i udostępnić poprawki nawet poza ich comiesięcznym cyklem. Działo się tak jednak tylko wówczas, gdy mieliśmy do czynienia z niebezpieczną luką, aktywnie wykorzystywaną przez cyberprzestępców.
Jak widać, w niektórych przypadkach zanim dziura nie stanie się luką typu "zero-day" Microsoftowi nieszczególnie śpieszy się z jej łataniem.
Mariusz Błoński
