Microsoft chce pokračovat v záplatování chyb „potají“

Mike Reavey, ředitel MSRC (Microsoft Security Response Center), informoval, že jeho společnost nedokumentuje každou chybu, kterou objeví a také pokud několik chyb sdílí stejné vlastnosti, nemá údajně smysl reportovat každou zvlášť.

O tzv. tichém záplatování se začalo mluvit na začátku tohoto měsíce poté, kdy společnost Core Security Technologies prostudovala patche Microsoftu s označením MS10-024 a MS10-028 a zjistila v nich tři opravy, které nebyly oficiálně oznámeny. Bulletin MS10-028 byl určen k opravě možného přetečení bufferu v aplikaci MS Visio, cehož útočníci mohli využít k převzetí kontroly nad systémem.

Microsoft podle Reaveye o všech opravách neinformoval údajně proto, že vektor útoku byl prakticky shodný a ze strany zákazníky nemá příliš smysl mezi těmito opravami rozlišovat, protože všechny chyby přinášely riziko při otevírání dokumentů z nedůvěryhodných zdrojů.

Podobně také Adobe příliš nemluví o interních opravách a drobné chyby vydává v rámci updatů svého softwaru jako tzv. „zlepšení kódu“ a reportovány jsou jen takové, které jsou aktivně exploitovatelné nebo které byly nahlášeny externími výzkumníky.

Tato skutečnost ovšem přináší nejasnost do počtů opravených chyb v produktech různých výrobců, protože zjevně závisí na jejich interní politice a označování toho, co považují za skutečnou chybu a zranitelnost a co nikoliv. Měřítka tedy mohou být velmi odlišná a smysl pak toto porovnání dává jen v případě srovnávání oprav v produktech od jednoho výrobce.

Reavey říká, že ale existuje více způsobů, jak měřit bezpečnost produktů a počet objevených a následně opravených zranitelností není jediným možným kritériem pro porovnávání. Lze například srovnávat počet zranitelností na počet řádek kódu a podobně. Mnohdy také jedna oprava na jediném řádku kódu zablokuje další stovky možných potenciálních zranitelností a je pak obtížné říci, že šlo o jedinou chybu.