TippingPoint zveřejnil 5 neopravených chyb v MS Office

Společnost TippingPoint, součást HP, zveřejnila informace o 22 zranitelnostech. Za nalezené chyby firma zaplatila v rámci svého programu Zery Day Initiative.


V minulosti TippingPoint nechtěl takové informace sdělovat vůbec nikomu jinému než svým zákazníkům a dodavatelům příslušného softwaru. Podrobnosti bývaly publikovány až po vydání záplaty. Firma se však už asi před rokem rozhodla svou politiku změnit a nyní zveřejňuje informace i o neopravených zranitelnostech – a to v případě, že oprava nebyla vyvinuta do 6 měsíců. Má tak výrobce softwaru motivovat k rychlejší práci na odstraňování závad. Zástupci Googlu loni navrhovali ještě kratší prodlevu, pouhé 2 měsíce.

 

TippingPoint nyní tedy poprvé přišel se seznamem zranitelností, pro něž uplynul příslušný „deadline". Z 22 chyb je 9 v softwaru IBM, 5 v programech Microsoftu, 4 v programech HP a po 1 chybě zbylo na Novell, EMC, SCO a CA. (Údajně byl vynechán Sun, protože byl převzat Oraclem a TippingPoint proto 6měsíční lhůtu v tomto případě prodloužil.)

Zajímavé je, že všechny zranitelnosti připadající na Microsoft jsou v programech Office: 4 v Excelu a 1 se týká PowerPointu. Soustředí se snad Microsoft více na opravy operačního systému a webového prohlížeče?

Microsoft o zranitelnostech přirozeně věděl a firma se údajně původně chystala vydat záplaty už v rámci únorového balíčku, pak to však musela odložit údajně kvůli technickým problémům. Jerry Bryant, z Microsoft Security Response Center ale pro americký Computerworld ocenil, že TippingPoint poskytl o zranitelnostech jen takové informace, které by neměly příliš pomoci při tvorbě exploitů.

Jinak Microsoft ze změny politiky TippingPointu ale příliš nadšený není. Firma se domnívá, že dosud neopravené chyby by měly být zveřejňovány jen v případě, že už proti nim probíhají útoky. TippingPoint nicméně vydává i doporučení, jak se chránit. Ačkoliv samotná záplata je na dodavateli softwaru, problém lze do té doby často obejít např. nastavením restriktivnější konfigurace apod.

 











Komentáře