Microsoft odmítá zalepit bezpečnostní díry TCP/IP ve Windows XP

Microsoft minulý týden oznámil, že dvě chyby v TCP/IP, které opravil 8. září u systémů Vista, Server 2003 a Server 2008, se záplat ve Windows XP nedočkají.


 

Redmondská firma přitom původně  záplaty nechtěla vydat jen pro Windows 2000 Server SP4, ale na seznam nepodporovaných systémů přibyly i Windows XP, na které spoléhá stále většina uživatelů i firem.

"Mluvíme tady o kódu, který je starý 12 až 15 let – backportování takového kódu je v podstatě neproveditelné," řekl Adrian Stone ze společnost Microsoft během pravidelného Sucurity Bulletin Webcast. Na mysli měl kódy Windows 2000 a XP. "Ani aktualizace pro Windows XP nebude."

Díry se skrývají ve Windows implementaci TCP/IP, klíčových protokolů pro komunikaci v síti. Všechny tři objevené zranitelnosti jsou podrobněji popsané v článku MS09-048 – postupně jsou označeny jako nízká, středně nebezpečná a kritická a zneužití může vést ke vzdálenému spuštění kódu.

Windows XP a 2000 ohrožují dvě ze tří zdokumentovaných děr.

Microsoft ale říká, že Windows XP SP2, SP3 ani Pro x64 nejsou zranitelností ohroženy přímo. Důvodem je podle slov jeho zástupců výchozí nastavení firewallu. "Windows XP SP2 a novější operační systémy obsahují stavový firewall, který chrání počítače před příchozím trafficem z internetu a z okolních síťových zařízení v místní síti."

Obejít nastavení firewallu a jiná bezpečnostní opatření ve Windows XP i Windows 2000 ale není problém. Zranitelnosti mohou být zneužity k útoku, přesto se Microsoft nebezpečí snaží zlehčovat. "Systém by [při napadení] neodpovídal, byl by kvůli velkému využití paměti 'zatuhlý', (...) ale k provedení úspěšného útoku by bylo zapotřebí trvalé záplavy speciálně upravených TCP paketů, a systém by se vzpamatoval ihned, jakmile by bombardování pakety ustalo."

Microsoft se dále brání tomu, že by nechtěl opravit "kritickou" díru. Kvůli jejich charakteru a výchozímu nastavení firewallu totiž tyto zranitelnosti neoznačuje za kritické, ale za "důležité" v případě Sever 2000 a "nízké" u Windows XP. Dvě inkriminované zranitelnosti byly v systémech Vista a Server 2008 označeny za "středně nebezpečné", jedna další - také související s implementací TCP/IP – za "kritickou".

Microsoft přesto čelil otázkám, proč záplata Windows XP chybí a v jakých případech počítače uživatelů mohou být v nebezpečí. Microsoft na to odpověděl, že normálním uživatelům nebezpečí nehrozí. "Pravděpodobnějšími cíli jsou servery. Před útoky vás ochrání vaše firewally," reagovali zástupci Microsoftu na dotazy, zda jsou uživatelé v nebezpečí, pokud nepoužívají vestavěný firewall Windows XP, ale aplikace třetích stran.

Uživatelům se ale nelíbí, že Microsoft odmítá vytvořit bezpečnostní záplaty pro stále podporované operační systémy, navíc když Windows XP stále používá nejvíce lidí na světě včetně firem. Podpora má Windows Serveru 2000 SP4 bezpečnostní aktualizace zaručovat do června 2010 a pro Windows XP mají vycházet do dubna 2014.

"Pro Windows 2000 budeme poskytovat aktualizace v rámci podpory, ale jen tehdy, pokud je to technicky proveditelné," vzkázal Microsoft.

 











Komentáře