Microsoft chce pokračovat v záplatování chyb „potají“

30. 5. 2010

Sdílet

Podle představitelů Microsoftu nebude ani nadále Microsoft veřejně ohlašovat všechny opravy pro své produkty, které uvolní.

Mike Reavey, ředitel MSRC (Microsoft Security Response Center), informoval, že jeho společnost nedokumentuje každou chybu, kterou objeví a také pokud několik chyb sdílí stejné vlastnosti, nemá údajně smysl reportovat každou zvlášť.

O tzv. tichém záplatování se začalo mluvit na začátku tohoto měsíce poté, kdy společnost Core Security Technologies prostudovala patche Microsoftu s označením MS10-024 a MS10-028 a zjistila v nich tři opravy, které nebyly oficiálně oznámeny. Bulletin MS10-028 byl určen k opravě možného přetečení bufferu v aplikaci MS Visio, cehož útočníci mohli využít k převzetí kontroly nad systémem.

Microsoft podle Reaveye o všech opravách neinformoval údajně proto, že vektor útoku byl prakticky shodný a ze strany zákazníky nemá příliš smysl mezi těmito opravami rozlišovat, protože všechny chyby přinášely riziko při otevírání dokumentů z nedůvěryhodných zdrojů.

Podobně také Adobe příliš nemluví o interních opravách a drobné chyby vydává v rámci updatů svého softwaru jako tzv. „zlepšení kódu“ a reportovány jsou jen takové, které jsou aktivně exploitovatelné nebo které byly nahlášeny externími výzkumníky.

Tato skutečnost ovšem přináší nejasnost do počtů opravených chyb v produktech různých výrobců, protože zjevně závisí na jejich interní politice a označování toho, co považují za skutečnou chybu a zranitelnost a co nikoliv. Měřítka tedy mohou být velmi odlišná a smysl pak toto porovnání dává jen v případě srovnávání oprav v produktech od jednoho výrobce.

Reavey říká, že ale existuje více způsobů, jak měřit bezpečnost produktů a počet objevených a následně opravených zranitelností není jediným možným kritériem pro porovnávání. Lze například srovnávat počet zranitelností na počet řádek kódu a podobně. Mnohdy také jedna oprava na jediném řádku kódu zablokuje další stovky možných potenciálních zranitelností a je pak obtížné říci, že šlo o jedinou chybu.