Microsoft o chybě v Internet Exploreru věděl půl roku

Microsoft dokázal v poslední várce svých záplat opravit kritickou chybu v Internet Exploreru necelých 14 dní poté, co zranitelnost vešla ve známost. Pochvala za rychlost byla ovšem spojena i s jistou pochybností – nevěděl Microsoft o problému už dříve? Podle všeho ano.


Viz také Opravy Microsoftu: Windows 7 obstála, Internet Explorer 8 nikoliv

VeriSign iDefense potvrdila, že poskytla Microsoftu potřebné informace 6 měsíců předtím, než byl kód pokoušející se o zneužití této zranitelnosti zveřejněn v e-mailové konferenci Bugtraq.

iDefense Zero Day Initiative je spolu s programem společnosti Tipping Point nejvýznamnější službou, která od výzkumníků odkupuje objevené bezpečnostní zranitelnosti. Microsoft se fakt, že o chybě věděl dříve, ani nesnažil skrývat, protože v příslušném bulletinu zabezpečení MS09-072 je poděkování VeriSign.

Faktem je, že Microsoftu jinak trvá oprava bezpečnostní zranitelnosti v Internet Exploreru přibližně měsíc od jejího zveřejnění. Rychleji a formou mimořádných záplat firma postupuje pouze tehdy, pokud už je v plném proudu hromadný útok, to se však v tomto případě nedělo.

 

Poznámka: Popisovaná zranitelnost se týkala pouze Internet Exploreru 6 a 7 (viz také Microsoft přiznal zranitelnost v Internet Exploreru 6 a 7, způsob opravy neupřesnil). V poslední várce záplat byly ovšem opraveny i chyby v nejnovějším MSIE 8.

 











Komentáře