Microsoft měl ve vztahu k MacOS porušit vlastní pravidla

Swa Frantzen, analytik SANS Institute, kritizuje Microsoft za vydání opravy pro PowerPoint způsobem, který opomíjí uživatele MS Office na platformě MacOS. Frantzen soudí, že tím, že chyba kvůli vydané opravě vešla ve všeobecnou známost, jsou tak uživatelé MacOS vystaveni zvýšenému riziku.


 Tvrdí, že Microsoft sám přitom prosazuje praxi, aby se informace o zranitelnostech nezveřejňovaly před vydáním oprav, právě to však nyní nepřímo učinil.

O problému jsme zde již psali (Microsoft zveřejnil obří záplatu pro PowerPoint).

Microsoft tak podle Frantzena porušil svá vlastní pravidla „odpovědného zveřejňování“. Jakmile jsou vydány opravy, i ti útočníci, kteří neměli k dispozici kódy pro zneužití zero day, mohou pomocí reverzního inženýrství zjistit, v čem chyba spočívala. Pokud současně pro určitou část uživatelů opravy k dispozici nejsou, hrozí vše přerůst v katastrofu.

SANS Institute se odvolává i na statistiky ankety na svém webu, kde většina hlasujících postup Microsoftu kritizovala. Analytik společnosti Gratner John Pescatore se naopak Microsoftu zastal a uvedl, že zvolil podle něj správný postup. Podle Pescatora existují tři možné koncepce bezpečnostních aktualizací:

- Vydávat záplaty až ve chvíli, kdy jsou verze pro všechny systémy spolehlivě otestovány.

- Vydávat záplaty co nejrychleji, s tím, že pak ovšem budou muset být opravovány dalšími záplatami.

- Vydávat záplaty postupně, otestované alespoň pro ty systémy, které jsou nejvíce ohroženy. Rychle opravovat tam, kde už stejně probíhají pokusy o zneužití.

Pescatore pokládá třetí možnost, tj. tu, kterou zvolil Microsoft, za nejlepší.

Andrew Storms z nCircle Network Security k celé záležitosti ještě dodal, že kód zneužití byl již dlouho k dispozici a koloval po Internetu. Není podle něj pravděpodobné, že by ze zveřejnění záplaty pro verze PowerPointu pro Windows někdo dokázal tak rychle získat způsob zneužití pro MacOS – pokud by ho už neznal dříve. I Storms nicméně připustil, že Microsoft opravdu de facto porušil pravidla, která sám prosazuje, byť to bylo odůvodněné.

Jonathan Ness z Microsoft Security Response Center uvedl, že žádný ze zachycených vzorků kódu, který se pokoušel o zneužití chyby, se netýkal MacOS. Společnost proto se zveřejněním záplaty alespoň pro Windows nechtěla čekat.

I Adobe při opravě Acrobatu a Acrobat Readeru opomněla uživatele určitých verzí tohoto softwaru pro MacOS (Aktualizaci Acrobat Readeru se nevyplatí odkládat).











Komentáře